All’inizio del mese si è parlato di una grave vulnerabilità riguardante il software Zoom disponibile per i computer della linea Mac, dedicato a videoconferenze e meeting da remoto, particolarmente diffuso in ambito professionale. In sintesi, come svelato dal ricercatore Jonathan Leitschuh esperto di cybersecurity, l’installazione di un web server locale permetteva a una qualsiasi pagina Web di attivare la webcam, in modo del tutto inavvertibile (mediante l’inclusione di un iframe nascosto), mettendo così in serio pericolo la privacy degli utenti.
Zoom: tre software, una vulnerabilità
Stando alle nuove informazioni emerse, lo stesso problema ha riguardato anche altri due software, RingCentral e Zhumu, basati sulla stessa tecnologia impiegata da Zoom. Apple ha reso noto attraverso la redazione del sito TechCrunch di essere intervenuta con la distribuzione di un fix per macOS, già in fase di rollout, mettendo in campo dunque lo stesso approccio già visto la scorsa settimana.
[gallery_embed id=130222]
La decisione di ricorrere all’installazione di un web server locale è da etichettare come un workaround adottato al fine di aggirare una protezione introdotta di recente dalla mela morsicata nel browser Safari proprio con l’obiettivo di impedire che un sito possa eseguire operazioni di questo tipo senza prima chiedere un’esplicita autorizzazione all’utente, solitamente tramite la comparsa di un pop-up sullo schermo. Zoom, così come RingCentral e Zhumu, ha scelto di aggirare l’imposizione evitando un click aggiuntivo, innescando però una dinamica potenzialmente pericolosa.
L’aggiornamento destinato ai computer macOS in fase di rollout viene applicato al sistema operativo di Cupertino senza richiedere un’interazione attiva. Tornando ai due software citati, Zhumu è destinato principalmente al mercato orientale, mentre RingCentral vanta tra i suoi clienti (stando a quanto afferma il sito ufficiale) l’operatore Orange, l’emittente televisiva Canal+ e la squadra di basket dei Golden State Warriors.