Zoom, il servizio di videochiamata divenuto molto popolare in questo periodo, nel corso degli anni ha avuto una serie di problemi di privacy e sicurezza che a quanto pare non sono stati risolti. Sono stati scoperti due nuovi bug che consentono agli hacker di assumere il controllo dei vostri Mac, inclusi webcam, microfono e persino l’accesso root completo.
I nuovi bug sono stati scoperti dall’ex hacker della NSA Patrick Wardle, ora principale ricercatore di sicurezza presso Jamf, che ha dettagliato le sue scoperte sul suo blog Objective-See.
Wardle ripercorre i diversi problemi di privacy e sicurezza scovati in Zoom nel corso del tempo, come quello relativo alla webcam, alle videochiamate che hanno la crittografia end-to-end come afferma l’azienda, l’app iOS che invia i dati degli utenti a Facebook e altro ancora.
Le nuove scoperte di Wardle relative ai due bug di Zoom indicano che i Mac sono nuovamente vulnerabili all’acquisizione di dati tramite webcam e microfono, oltre alla possibilità da parte di un hacker di poter ottenere l’accesso root completo di un Mac.
Quando Felix Seele ha notato che il programma di installazione di Zoom può richiamare l’API AuthorizationExecuteWithPrivileges per eseguire varie attività di installazione privilegiate, ho deciso di dare un’occhiata più da vicino. Quasi immediatamente ho scoperto diversi problemi, tra cui una vulnerabilità che porta a un’escalation di privilegi locali che arrivano fino all’accesso root.
Zoom non ha voluto commentare la vicenda, ma al momento è consigliabile utilizzare altre app più affidabili.
Aggiornamento 03/04
Aggiornamento 02/04: Zoom ha deciso di mettere in pausa lo sviluppo di nuove funzionalità per la piattaforma per i prossimi 90 giorni per dedicarsi esclusivamente alla risoluzione dei diversi problemi legati alla sicurezza e alla privacy degli utenti.
A quanto pare la società non era pronta ad accogliere un numero così elevato di utenti, visto che nessuno poteva prevedere il lockdown che sta avvenendo un po’ in tutto il mondo, ma a quanto pare sembra sia già a la lavoro per risolvere tutti i problemi.
La società ha già rilasciato una nuova versione della sua app iOS per rimuovere l’SDK di Facebook che portava alla condivisione dei dati con Facebook e ha aggiornato anche la sua politica sulla privacy. Inoltre, è stata rimossa la funzione di tracciamento dell’attenzione dei partecipanti, una funzione molto controversa che consentiva agli host di vedere se la finestra Zoom fosse attiva o meno. La società ha anche rilasciato aggiornamenti di sicurezza dopo che Patrick Wardle ha scoperto diverse vulnerabilità all’interno della piattaforma.
Rimane però ancora il problema legato alla crittografia end-to-end completamente assente, ma speriamo che la società ponga rimedio a tutte queste problematiche al più presto.