MacBook webcam

Kwetsbaarheid in videobel-app Zoom laat websites inbreken in Mac-camera

Er is een kwetsbaarheid ontdekt in de videobel-app Zoom. Een beveiligingsonderzoeker laat zien dat elke website een videogesprek kan starten, zonder dat je hier als gebruiker toestemming voor geeft. Zelfs als de Zoom-app eerder al verwijderd is.
Benjamin Kuijten | iCulture.nl - · Laatst bijgewerkt:

Update 10 juli: Zoom zegt het probleem opgelost te hebben met een noodpatch. Het bedrijf maakt daarmee een plotselinge omslag, want eerder vonden ze de kwetsbaarheid een laag risico. De fix zorgt ervoor dat de lokale webserver volledig weg wordt gehaald zodra de Zoom-client is bijgewerkt.

Lees ook: Hoe veilig is Zoom en hoe zit het met privacy?

Hieronder volgt ons oorspronkelijke artikel.

Kwetsbaarheid in videobel-app Zoom op de Mac

Zoom is een videobel-app die vooral zakelijk veel gebruikt wordt. Met de app kun je videoconferenties houden, bijvoorbeeld voor werkoverleg of voor het op afstand geven van een cursus. De nieuwe kwetsbaarheid is ontdekt door beveiligingsonderzoeker Jonathan Leitschuh en is alleen te vinden in de Mac-versie van de app. Opmerkelijk is dat de kwetsbaarheid zelfs aanwezig is als je de app verwijderd hebt.

Zodra je Zoom op je Mac installeert, wordt er in feite een web server geïnstalleerd. Hierdoor zijn er verzoeken mogelijk die via een normale browser niet mogelijk zijn. Zoom geeft aan dat ze dit gedaan hebben, zodat gebruikers niet elke keer toestemming hoeven te geven om Zoom te starten. Het gevolg hiervan is dat je met één klik deel kan nemen aan een gesprek, maar dit brengt dus wel deze kwetsbaarheid met zich mee. Het proces draait op de achtergrond, waardoor een website kan forceren dat de gebruiker deelneemt aan een gesprek. Hierdoor wordt ook de camera automatisch gestart.

Als je Zoom verwijderd, blijft de webserver achter op je Mac. Hierdoor kan Zoom ook automatisch weer geïnstalleerd worden. De enige manier om de app compleet te verwijderen, is via een Terminal-commando die de onderzoeker in zijn Medium-post uitlegt. Het is via een instelling in de app ook mogelijk om de camera uit te zetten zodra je deelneemt aan een gesprek.

De onderzoeker heeft de kwetsbaarheid al in maart aan de makers doorgegeven, maar het probleem is nog niet opgelost. Wil je meer weten over de technische achtergrond van deze kwetsbaarheid, dan lees je hier meer over in de Medium-post van de ontdekker.

Revisiegeschiedenis:

  • 2019 - 10 juli: Maatregelen van Zoom toegevoegd aan artikel.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 29 maart 2020, 15:10
Bron Bron Medium
Via Via The Verge
Categorie Mac & macOS
Onderwerpen videobellen, webcam

Reacties zijn gesloten voor dit artikel.