App que muchos usan ha dando brecha a que otros puedan espiarte por cámara

Un fallo en la aplicación de Zoom para Mac, que permite conectarse a salas de vídeo de forma más cómoda, expone tu cámara frente a sitios web maliciosos. El fallo se corrigió en las versiones recientes, pero si desinstalaste la aplicación cuando era vulnerable sigues siendo visible.

Hoy mismo un invstigador de seguridad, Jonathan Leitschuh, publicaba un fallo de seguridad en el cliente de Zoom para Mac que permitía a cualquier sitio web de caracter malicioso acceder a la cámara sin ningún tipo de permiso o conocimiento por parte del usuario. Este fallo podría afectar a cientos de miles de empresas y usuarios de todo el mundo.

No solo eso, sino que si has instalado el cliente de Zoom todavía no te has deshecho de la vulnerabilidad por completo, aunque lo hayas desinstalado. De nuevo, este cliente puede ser reinstalado sin ninguna interacción por parte del usuario. El fallo ha sido funcional hasta la publicación de la vulnerabilidad.

El fallo en cuestión explota la característica en la que es posible conectarse a una sala de videollamadas de Zoom a través de un link directo. Este link se abre a través de un navegador, que lanza posteriormente la aplicación concreta en el dispositivo. Según afirma Leitschuh:

“Tenía curiosidad acerca de cómo esta impresionante característica había sido implementada y cómo había sido implementada de forma seguda. Encontré que, realmente no había sido implementada de forma segura.”

La gente de The Verge ha utilizado el código de Litshchuh y ha sido capaz de reproducir el fallo. Y no son los únicos, otros usuarios se han podido acabar conectando a grupos de gente aleatoriaque mantenían conversaciones en ese momento.

Cómo solucionarlo

Corregir fallo Zoom en Mac

Para corregir este fallo de seguridad, podemos acceder a la aplicación de Zoom e ir a los ajustes de vídeo, y forzarla para que este se encuentre desactivado cada vez que entremos en una conversación. De esta forma, aunque se habilite por un sitio web malicioso, este no podrá ver nada.

Puesto que el fallo deja un servidor local activo tras su desinstalación, no es suficiente con este paso, por lo que primero debemos actualizar la aplicación a su última versión y asegurar que esta está actualizada.

Qué dice Zoom

Según recoge The Verge, Zoom afirma haber desarrollado ese problemático servidor web local para hacer las conexiones más inmediatas e intuitivas para el usuario:

“[El servidor es una] solución legítima a una experiencia de usuario pobre, que permite a nuestros usuarios tener reuniones sin fisuras y con un solo clic para unirse a ellas, que es nuestro principal diferenciador de producto.”

Zoom afirma que actualizará de nuevo la aplicación este mismo mes para guardar las prederencias para cuándo el vídeo será activado o no al entrar a una videollamada. Es decir, espera que sus usuarios desactiven el vídeo de sus cámaras por defecto manualmente.

Zoom es un servicio que ya en 2015 tenía 40 millones de usuarios. Probablemente hoy sean más, por lo que es más que posible que sean varios millones de equipos Mac los que han estado o están afectados por este fallo de seguridad.