UNA falla nella sicurezza dell’app per videoconferenze Zoom permette ai siti web di entrare nel Mac e attivare la webcam senza che l’utente se ne accorga. Lo spiega con un post su Medium Jonathan Leitschuh, esperto di cybersecurity che ha individuato la vulnerabilità “zero day”, cosiddetta perché non ancora nota allo sviluppatore.

La piattaforma per videoconferenze usata da migliaia di utenti, con app per Mac, iPhone e iPad, consente a qualsiasi sito web di “unire forzatamente un utente a una chiamata Zoom, con la videocamera attivata, senza il permesso dell’utente”. Ciò può accadere anche se la app è stata disinstallata. Basta cliccare sul link per connettersi in videochiamata con la webcam. Questo accade perché una volta installato il client Zoom per Mac, viene anche installato e attivato in background un web server, che permette in generale all’utente di connettersi più facilmente ricevendo le videochiamate.

La vulnerabilità (catalogata come CVE-2019-13450) è stata rintracciata a marzo, ma Zoom sembra non avere ancora rilasciato alcuna patch per risolverla. Nella replica ricevuta da Leitschuh, l’azienda si dice pronta a rilasciare un aggiornamento che permetterà all’utente di diabilitare automaticamente il segnale video nel momento in cui ci si unisce a un meeting: per evitare che vengano inviate le immagini dopo avere cliccato sul link malevolo.


Zoom, l'app permette ai siti web di controllare la webcam del Mac

(Credit: @jonathan.leitschuh – Medium.com)

La prima cosa da fare per evitare che la webcam sia accessibile, suggerisce Dieter Bohn di The Verge dopo avere testato la falla, è assicurarsi di avere aggiornato la app all’ultima versione e disabilitare l’impostazione che permette di abiltare la cam quando si partecipa a una videoconferenza (attivando la voce “Disattiva il video quando si partecipa a una riunione”).

Ai circa 4 milioni di utenti Apple che utilizzano Zoom (che nel 2015 contava 40 milioni di utenti in tutto) Leitschuh consiglia anche di eseguire una serie di comandi da Terminale di MacOs per disinstallare il web server.


L’approfondimento quotidiano lo trovi su Rep: editoriali, analisi, interviste e reportage.
La selezione dei migliori articoli di Repubblica da leggere e ascoltare.

Rep Saperne di più è una tua scelta

Sostieni il giornalismo!
Abbonati a Repubblica





Source link