Allvarlig sårbarhet i Zooms videokonferensapp

En ny allvarlig sårbarhet i videokonferensappen Zoom har upptäckts. Sårbarheten exponerar miljontals Mac-användare som har eller har haft Zoom-appen installerad på sin dator. Sårbarheten gör det möjligt för en potentiell angripare att tvinga en användare att ansluta till ett Zoom-samtal, med deras videokamera aktiverad, utan användarens tillåtelse. Företaget har nu släppt en säkerhetspatch som ska åtgärda problemet.

Zoom är en populär videokonferenstjänst som används dagligen av många företag världen över. Den 8 juli uppdagades en allvarlig säkerhetsbrist som drabbar Mac-användare som har eller har haft Zoom-appen installerad, vilket uppskattas till minst 4 miljoner enheter. Sårbarheten gör det möjligt för alla hemsidor att tvinga en användare att ansluta till ett Zoom-samtal, med deras videokamera aktiverad, utan användarens tillåtelse. Den enda förutsättningen som krävs är att användaren själv besöker den infekterade hemsidan.

Det räcker dock inte att avinstallera Zoom från sin dator för att få bukt med problemet, då Zoom-applikationen även installerar en webbserver lokalt på datorn. Bakdörren, som inte försvinner när appen tas bort, kan sedan återinstallera appen utan tillstånd. 

Säkerhetsforskaren Jonathan Leitchuch, som upptäckte sårbarheten redan i mars, gav i enlighet med branschstandard Zoom 90 dagar på sig att åtgärda problemet samt förslag på en “quick fix”-lösning. Därefter följde regelbunden mailkorrespondens mellan Leitchuch och Zoom, vilken Leitchuch beskriver som följande:

- Many times during my conversation with the Zoom security team they seemed to argue that the seriousness of this vulnerability was limited because it would require “user interaction” to exploit these. My response to this was finally “I would highly suggest that you not hang your hat on ‘user interaction required’ for protecting your users given that this ‘user interaction’ is simply clicking a link or visiting a webpage.

Den 21 juni, med tre dagars marginal till deadline, bekräftade Zoom att sårbarheten var fixad. Det visade sig dock inte stämma, och drygt två veckor senare avslöjades den publikt. 

Den här gången reagerade Zoom desto snabbare, och knappt två dygn efter avslöjandet släpptes en säkerhetspatch som avinstallerar den lokala webbservern från datorn. Företaget planerar även att släppa ytterligare säkerhetsfixar den närmaste tiden, härnäst en som rör video by default-funktionen. 

Trots att Zoom nu påstår sig ha åtgärdat säkerhetshålet rekommenderar Joel Rangsmo, teknisk säkerhetskonsult på Sentor, företag och privatpersoner som värnar om sin säkerhet och integritet att tänka två gånger innan de använder tjänster av det här slaget för känsliga ändamål:

- Magnituden av sårbarheten i kombination med Zooms hantering av ärendet tyder på att de inte prioriterar säkerhet särskilt högt, varken avseende mjukvara eller tjänstens syfte, som i mångt och mycket innebär utbyte av konfidentiell information mellan företag, anställda och deras kunder. Det gör förstås tjänstens användare till ett attraktivt byte för den som vill komma över känsligt innehåll och företagshemligheter. En potentiell angripare skulle till exempel ha kunnat utnyttja bristen genom att skapa en riktad spearphishing-kampanj mot företagets anställda, få dem att klicka på en infekterad länk, och sedermera ta kontroll över datorns webcam. Nu ska sårbarheten vara fixad, men jag tycker ändå att hela situationen påvisar ett inneboende problem i tjänsteleverantörer som inte tar säkerheten på allvar.