Dopo aver atteso 90 giorni dalla segnalazione iniziale del ricercatore Jonathan Leitschuh, sono state sufficienti meno di 24 ore dall’esplosione del caso per convincere lo sviluppatore di Zoom a intervenire con un update correttivo. Risolta dunque la vulnerabilità che potenzialmente permetteva a un malintenzionato di attivare la webcam degli utenti Mac e spiarli, senza che le vittime nemmeno se ne accorgessero: era sufficiente il click su un link oppure il semplice caricamento di una pagina durante la navigazione.
[gallery_embed id=130222]
Un fix per la vulnerabilità di Zoom su Mac
La software house ha optato per il rilascio di una patch d’emergenza, rivedendo la propria posizione iniziale, con tutta probabilità in considerazione del clamore suscitato dalla diffusione delle informazioni sul caso. Via il web server locale creato dall’applicativo in modo da evitare agli utenti di dover fare un click in più per unirsi alle videoconferenze (introdotto per aggirare una funzionalità di sicurezza di Safari), responsabile del problema. Ne ha parlato Richard Farley, Information Security Officer dell’azienda, su The Verge.
Abbiamo voluto installare il web server così da permettere agli utenti di unirsi ai meeting senza dover fare ulteriori click e pensiamo sia stata la decisione giusta, anche sulla base delle richieste formulate da alcuni clienti. Riconosciamo e rispettiamo però anche la visione di chi non vuol aver un processo extra installato in locale. Ecco perché abbiamo scelto di rimuoverlo, anche se richiederà un click in più durante l’utilizzo su Safari.
Una scelta di buon senso: un click in più ci sembra un prezzo ragionevole da pagare per scongiurare il rischio che qualcuno attivi a nostra insaputa la videocamera del computer e ci spii. L’aggiornamento rilasciato (4.4.53901.0616) introduce inoltre una nuova opzione per la disinstallazione manuale di Zoom, che rimuove non solo il software, ma anche il web server locale. Il team afferma invece che non ha intenzione di bloccare l’avvio delle videoconferenze tramite link contenuti in un iframe delle pagine, poiché la funzionalità è parecchio utilizzata in ambito aziendale.