Een kwetsbaarheid in de Mac-client van de populaire videoconferencingsoftware Zoom laat toe dat een website ongevraagd je webcam inschakelt. Dat ontdekte security-onderzoeker Jonathan Leitschuch, die zijn bevindingen bekend maakt nadat Zoom naliet om tijdig actie te ondernemen.
De onderzoeker beschrijft de kwetsbaarheid in een blogpost op Medium. Hij ontdekte dat elke website een Zoom-videogesprek kan opstarten op een Mac, zonder dat de gebruiker daar toestemming voor geeft of zelf een handeling moet uitvoeren. Dat komt doordat Zoom op Macs een aparte webserver installeert, die de aanvragen in jouw plaats afhandelt. Die webserver blijft zelfs actief nadat je Zoom hebt verwijderd en kan de software op eigen houtje weer installeren.
Leitschuch ontwikkelde een proof-of-concept om de impact van de kwetsbaarheid te demonstreren. “Het enige dat een website hoeft te doen, is [een link naar een videomeeting] in een pagina insluiten en elke Zoom-gebruiker zal direct verbonden worden met zijn webcam geactiveerd”, legt Leitschuch uit. Daarbij hoeft de Zoom-app zelfs niet actief te zijn, omdat de webserver op de achtergrond draait.
This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf
— Matt Haughey 😷 (@mathowie) July 9, 2019
“Dit kan worden ingesloten in schadelijke advertenties of kan worden gebruikt als onderdeel van een phishing-campagne”, waarschuwt de securityspecialist. Hij maakte zijn vondst eerder dit jaar bekend aan Zoom en gaf het bedrijf meer dan 90 dagen om een oplossing te voorzien. Dat is niet of onvoldoende gebeurd, dus besloot hij om de kwetsbaarheid publiek te maken.
Gebruikers kunnen zelf voorkomen dat de camera automatisch wordt opgestart, door de Zoom-app te updaten naar de meest recente versie en in de instellingen aan te vinken dat je camera niet mag worden ingeschakeld wanneer je in een meeting gaat. Het standaardgedrag is dat de camera meteen mee aanspringt.
Dat verhelpt evenwel maar een deel van het probleem, de webserver blijft immers nog altijd draaien. Om die uit te schakelen moet je via de terminal een aantal commando’s uitvoeren, zoals uitgelegd onderaan Leitschuchs blogpost.
‘Legitieme oplossing’
In een statement aan verschillende media, waaronder ZDNet, verdedigt Zoom de keuze om de webserver in te bouwen. De feature werd ontwikkeld om de gebruiker te helpen enkele kliks te besparen. Apple heeft zijn browser namelijk recent aangepast, zodat gebruikers bij elke meeting moesten bevestigen dat ze Zoom wilden opstarten. Zoom beschouwt zijn “workaround” als een “legitieme oplossing voor slechte gebruikservaring, waardoor onze gebruikers naadloos kunnen deelnemen aan meetings met één klik, wat onze belangrijkste productdifferentiator is.”
Het bedrijf zal zijn applicatie binnenkort wel aanpassen, zodat de voorkeur van gebruikers en beheerders om de camera al dan niet automatisch in te schakelen bij het starten van een gesprek, wordt bewaard voor toekomstige meetings. Voor Leitschuh is dat niet voldoende: hij vindt dat Zoom de webserverfunctionaliteit volledig moet verwijderen, maar daar lijkt het bedrijf niet meteen gehoor aan te willen geven.