Chyba v aplikaci Zoom pro Mac umožňuje napadnout webkamery
10.7.2019, Milan Šurkala, aktualita
Aplikace Zoom pro videokonference má v sobě velmi nepříjemný bezpečnostní bug. Ten má dle tvůrců zvýšit komfort práce s aplikací, současně ale umožňuje webovým stránkám spouštět webkamery návštěvníků.
Některé funkce navíc dokáží být ve výsledku i pěkně nepříjemné. Tvůrci aplikace Zoom pro Mac, která je určena pro pořádání videokonferencí, totiž umožňuje snadné zapínání webkamery, aby uživatel nemusel zbytečně hodně klikat. Stinnou stránkou tohoto konceptu ale je, že není naprogramován zrovna ideálně a umožňuje zapínání webkamery uživatelů i správným odkazem na webové stránce. Ve výsledku tak člověk i bez větší znalosti IT může snadno zapínat uživatelům webkamery, aniž by si toho mnoho z nich všimlo.
Sama aplikace totiž při své instalaci instaluje také webový server, a právě ten tuto funkci umožňuje, neboť samotný webový prohlížeč by něco takového neměl umět (ke spuštění hovoru stačí sdílet link). Problémem je ale i to, že pokud Zoom odinstalujete, webový server zůstane na počítači i nadále. Ten byl problémem už nejednou. V minulosti např. umožňoval DoS (Denial of Service) útoky tím, že byl přinucen konstantním pingováním jiných počítačů s žádostí o navázání hovoru a neustálou aktivací okna znemožňoval rozumnou práci s počítačem.
Webový server se do aplikace dostal poté, co Apple zvýšil bezpečnost Safari tím, že bylo vždy nutné povolovat sepnutí webkamery prohlížečem. Tvůrci aplikace nejprve řekli, že bug nechtějí opravovat, protože jde vlastně o záměr zjednodušit život uživatelům, nicméně nakonec se podvolili a chování bude změněno. Běžný uživatel by tak měl aktualizovat na další novou verzi, případně v nastavení aplikace na Macu změnit chování aplikace a nedovolit jí zapnutí webkamery.
Aktualizace 11.7.2019: O nápravu se postarali sami tvůrci aplikace, ale i Apple, který vydal aktualizaci systému, jež webový server odstraňuje. Apple se bojí, že by spousta uživatelů Zoomu (současných a především bývalých) neaktualizovala.
Zdroj: theverge.com, digitaltrends.com
Zdroj: theverge.com, digitaltrends.com