Tard hier soir, il a été signalé qu'une vulnérabilité majeure au sein de l'application Zoom Mac avait été découverte, ce qui permettait essentiellement à certains sites de pirater la webcam d'un ordinateur.
La vulnérabilité du jour zéro a été découverte par le chercheur en sécurité Jonathan Leitschuh, qu'il avait initialement signalé à Zoom en mars. Leitschuh a récemment publié les détails de la vulnérabilité de son compte Medium, détaillant comment cela fonctionne et comment elle pourrait être dangereuse pour les utilisateurs de Zoom.
L'essentiel est le suivant: lorsque vous installez l'application de vidéoconférence, Zoom, sur votre Mac, elle installe également un serveur Web directement sur votre ordinateur. Cela "accepte les demandes que les navigateurs habituels n'accepteraient pas", selon un rapport de Le bord. Ce serveur Web fonctionne en arrière-plan, ce qui permet de «joindre de force un utilisateur à un appel Zoom, avec sa caméra vidéo activée, sans l'autorisation de l'utilisateur».
Dans la publication d'origine Medium, des liens sont fournis pour tester la vulnérabilité. Ce faisant, l'utilisateur se joindra à une conférence téléphonique, la caméra étant déjà activée, sans l'acceptation directe par l'utilisateur de telles.
Pire encore, du fait que le serveur Web est installé directement sur l'ordinateur, même si l'application Zoom est désinstallée, elle reste présente. Ce qui signifie que la vulnérabilité fonctionne même si l'utilisateur n'a plus installé Zoom.
Comme indiqué ci-dessus, Leitschuh a informé Zoom de la vulnérabilité en mars, et le chercheur a établi un calendrier détaillé de la façon dont tout cela s'est passé avant la divulgation publique lundi soir. Selon Leitschuh, la régression a été corrigée le 8 juillet, mais il a pu trouver rapidement une solution de contournement..
De plus, Leitschuh dit que Zoom n'a pas de processus de mise à jour automatique utile implémenté, ce qui signifie que de nombreux utilisateurs de Zoom dans la nature utilisent potentiellement une version plus ancienne du logiciel et sont entièrement capables de contourner la vulnérabilité.
Maintenant, Zoom a répondu au problème et a envoyé une mise à jour pour résoudre le problème:
Le correctif du 9 juillet de l'application Zoom sur les appareils Mac détaillés ci-dessous est maintenant en ligne. Vous pouvez voir une fenêtre contextuelle dans Zoom pour mettre à jour votre client, le télécharger sur zoom.us/download, ou vérifier les mises à jour en ouvrant la fenêtre de votre application Zoom, en cliquant sur zoom.us dans le coin supérieur gauche de votre écran, puis en cliquant sur Vérifier les mises à jour.
La société a un article de blog complet sur le sujet, qui, si vous êtes un utilisateur de Zoom, mérite certainement d'être consulté. Mais, voici un bref extrait, où la société souligne qu'il est possible de désactiver le client Zoom d'activer automatiquement la webcam lors de la participation à une vidéoconférence:
Cette semaine, un chercheur a publié un article faisant part de ses préoccupations concernant notre expérience vidéo. Son inquiétude est que si un attaquant est en mesure de tromper un utilisateur Zoom ciblé en cliquant sur un lien Web vers l'URL de l'ID de la réunion Zoom de l'attaquant, l'utilisateur cible pourrait sans le savoir rejoindre la réunion Zoom de l'attaquant. Si l'utilisateur n'a pas configuré son client Zoom pour désactiver la vidéo lors de la participation à des réunions, l'attaquant peut être en mesure de visualiser le flux vidéo de l'utilisateur. À noter, nous n'avons aucune indication que cela s'est déjà produit.
À la lumière de cette préoccupation, nous avons décidé de donner à nos utilisateurs encore plus de contrôle sur leurs paramètres vidéo. Dans le cadre de notre prochaine version de juillet 2019, Zoom appliquera et enregistrera les préférences vidéo de l'utilisateur de sa première réunion Zoom à toutes les futures réunions Zoom. Les utilisateurs et les administrateurs système peuvent toujours configurer leurs paramètres vidéo client pour désactiver la vidéo lorsqu'ils se joignent à une réunion. Cette modification s'appliquera à toutes les plateformes clientes.
Maintenant, si vous êtes curieux et que vous souhaitez vérifier la vulnérabilité de Zoom et comment la nettoyer (et cela ne vous dérange pas d'utiliser l'application Terminal), les publications de Glen Maddern sur Twitter sont un excellent point de départ:
D'accord… .
• Faites glisser l'application Zoom vers la corbeille
Puis dans le terminal:
• lsof -i: 19421 (pour obtenir le PID)
• kill -9 [PID] (cela tue le crabe)
• rm -rf ~ / .zoomus (gtfo)
• touchez ~ / .zoomus (et restez en dehors)Ai-je manqué quelque chose? https://t.co/UCGtaM3jdp
- Glen Maddern? (@glenmaddern) 9 juillet 2019
Zoom a été présenté comme l'une des meilleures applications et services de visioconférence sur le marché, mais il s'agit d'une énorme vulnérabilité. Pourtant, il est possible que Zoom puisse rebondir assez rapidement - surtout s'il peut mettre à niveau son mécanisme de mise à jour automatique pour s'assurer que le nouveau logiciel corrigé se trouve sur plus de machines..
Êtes-vous un utilisateur Zoom?