Zakelijke bel-app Zoom lek: gesprekken op Mac afluisteren mogelijk

Door: Raymon Mens - 1 reactie

De Mac-versie van videoconferentieapp Zoom bevatte een lek. Het was mogelijk om mee te kijken en luisteren met de webcam van een Mac waar de app op geïnstalleerd was. Zoom is een van de meest populaire oplossingen voor videoconferenties, vooral in de zakelijke wereld. Het werkt als Skype of Google Hangouts.

Het lek is inmiddels (deels) gedicht en beveiligingsonderzoeker Jonathan Leitschuh, die het lek ontdekte, publiceert nu details. Zoom werkte op een creatieve manier om beperkingen in macOS heen en maakte daarbij fouten. Die zijn nu hersteld, maar de onderzoeker is niet overtuigd.

Zoom voor Mac: gemak vs. veiligheid

Zoom voor Mac bevatte verschillende beveiligingsfouten, waarvan de belangrijkste iedere website de mogelijkheid bood om de webcam van een Mac te activeren. Zonder enige interactie met de gebruiker. De enige indicatie van een ingeschakelde webcam, is de hardwarematige LED naast de camera die gaat branden.

Zoom omzeilt verschillende veiligheidsmaatregelen die in macOS zijn geïmplementeerd. Dat doet de app om een ​​van zijn sterke punten te behouden, namelijk het starten van een videovergadering met één klik op een link. Die wordt vaak via een chatbericht of e-mail verzonden. Normaal vraagt macOS een extra bevestiging bij het openen van een app en activeren van de webcam. Om dit te omzeilen, installeert Zoom op macOS een lokale webserver die verantwoordelijk is voor het koppelen van je browser aan de app. Alles voor het met één klik deelnemen aan een gesprek.

webcam mac
Klik/tap voor groter.

Eenvoudig te misbruiken

Door deze webserver op je Mac kan iedere website bijvoorbeeld tegen Zoom zeggen: “Zet de webcam aan en neem deel aan gesprek 083272”. Er was geen enkele controle en zo kon de onderzoeker kinderlijk eenvoudig deelnemen aan talloze gesprekken. Hij kocht simpelweg een paar advertenties op grote sites die op de achtergrond de lokale webserver van Zoom benaderde. Deelnemen aan een gesprek vereist echter wel een ID. Dat was volgens de onderzoeker ook prima te raden door gewoon willekeurige combinaties te proberen.

Zoom heeft het lek inmiddels gepatcht door een handtekening toe te voegen aan verzoeken om de webcam in te schakelen. De opdracht luidt nu dus: “Zet de webcam aan en neem deel aan gesprek 083272. Ik ben legitiem, hier is mijn handtekening”. Volgens Leitschuh is dat echter geen hele goede oplossing. Zoom benadrukt dat de magie van zijn software, het met één klik starten van een gesprek, alleen bereikt kan worden met deze oplossing. Het bedrijf belooft echter wel een extra optie in te bouwen die de webcam bij het deelnemen van een gesprek standaard uitschakelt. Het is aan de deelnemer om deze zodra het gesprek gestart is te activeren.

zoom mac
Klik/tap voor groter.

Reacties

1 reactie
  • Profielfoto
    Alexander Henket

    Zoom is wel heel fijn, maar nadat ik dit zag was het bij mij meteen klaar. Sukkels!