Apple grijpt in na beveiligings­probleem bij bel-app Zoom

Door: Raymon Mens - 1 reactie

Enkele dagen geleden werd bekend dat zakelijke videoconferentie-app Zoom een ernstig lek bevat. Het was door een ontwerpfout in de software voor kwaadwillenden heel gemakkelijk om aan willekeurige videogesprekken deel te nemen en ze bijvoorbeeld af te luisteren. Nu komt Apple echter in actie.

Het bedrijf uit Cupertino heeft een stille update naar alle macOS-apparaten uitgerold. Die update verwijdert de lokale webserver die Zoom kwetsbaar maakte. De update is onderdeel van het in macOS ingebouwde beveiligings­mechanisme XProtect. Gebruikers hoeven deze update niet handmatig te installeren.

Zoom blijft op Mac werken

Apple bevestigt tegenover TechCrunch dat de update uitgerold is. De webserver in Zoom voor Mac is daardoor verwijderd, maar de app blijft werken. De videoconferentie-app gebruikte de ingebouwde webserver alleen om het met één klik starten van een gesprek mogelijk te maken. Inmiddels heeft Zoom ook een update uitgebracht. Die zorgt dat het verwijderen van de lokale webserver niet tot minder gebruiksgemak leidt.

Apple grijpt zelden in bij dit soort problemen. Alleen als een probleem echt wijdverspreid is of een groot risico , wordt XProtect gebruikt om software te verwijderen of onbruikbaar te maken.

Zoom Mac 16x9
Klik/tap voor groter.

Beveiligingsprobleem met lokale server

Zoom voor Mac bevatte verschillende beveiligingsfouten, waarvan de belangrijkste iedere website de mogelijkheid bood om de webcam van een Mac te activeren. Zonder enige interactie met de gebruiker. De app omzeilde verschillende veiligheidsmaatregelen die in macOS zijn geïmplementeerd. Dat deed de app om een ​​van zijn sterke punten te behouden, namelijk het starten van een videovergadering met één klik op een link.

Normaal vraagt macOS een extra bevestiging bij het openen van een app en activeren van de webcam. Om dit te omzeilen, installeerde Zoom op macOS een lokale webserver die verantwoordelijk is voor het koppelen van je browser aan de app. Dat was dermate slecht beveiligd dat iedere website bijvoorbeeld tegen Zoom kon zeggen: “Zet de webcam aan en neem deel aan gesprek 083272”. Er was geen enkele controle en zo kon iedereen kinderlijk eenvoudig deelnemen aan talloze gesprekken. Dat zorgde er dus voor dat kwaadwillenden mee konden luisteren en kijken met gesprekken.

Reacties

1 reactie
  • Profielfoto
    TheDoctor40

    Ik vind het vooral heel kwalijk dat Apple dit moet oplossen omdat Zoom weigert het zelf te doen. En als Apple ingrijpt hebben ze ineens wel een oplossing? Als ik een gebruiker was van Zoom zou dit voor mij genoeg reden zijn om de app niet meer te gebruiken.