Webcamgat in Zoom, met achtergebleven lokale webserver

Zoom bevestigt deze video-on bug en snijdt in een blogpost de zorgen daarover aan. Het bedrijf stelt dat het stiekem activeren van webcams een klein risico vormt. Hetzelfde oordeel is geveld over de denial-of-service (DoS) kwetsbaarheid die ook is ontdekt en in maart gemeld door de security-onderzoeker die de zaak nu openbaart. Door de DoS-bug kan een malafide website een kwetsbare Mac lamleggen door die telkens mee te laten doen met een niet-valide Zoom-call. De DoS-bug is gefixt in versie 4.4.2 van de Zoom-client voor macOS.

'Gebruiker kan uitschakelen'

De kwetsbaarheid die onbekenden Mac-webcams laat activeren, is echter nog ongepatcht. Dit aanzetten van de webcam om dan te kunnen bespioneren, gebeurt zonder permissie van de gebruiker, legt security-onderzoeker Jonathan Leitschuh uit in zijn onthulling van dit beveiligingsgat. Een malafide website bezoeken, is voldoende om de bug te triggeren. Dit zou ook via een mailbericht kunnen.

Zoom spreekt tegen dat het om een grote kwetsbaarheid gaat en benadrukt dat gebruikers er zelf voor kunnen kiezen om videofunctionaliteit uit te schakelen.  Bovendien is het venster van de Zoom-software zichtbaar, waardoor gebruikers door kunnen hebben dat ze worden bekeken. Ze kunnen dan direct hun webcam uitschakelen of de malafide meeting meteen verlaten, redeneert de maker van de videoconferencingsoftware. Verder merkt Zoom op dat het geen indicatie heeft dat dit ooit is gebeurd. De standaardinstelling is dat video 'aan' staat.

Exploitsites en lokale webserver

Vanwege de zorgen over deze zaak, zo blogt de maker van de videoconferencingsoftware, krijgen gebruikers straks "nog meer grip op hun video-instellingen". De aankomende juli-update zorgt ervoor dat de Zoom-client videovoorkeuren die de gebruiker instelt bij zijn/haar eerste sessie voortaan toepast en opslaat voor alle toekomstige Zoom-meetings. Ondertussen is de geopenbaarde informatie over de bug al benut om exploitcode te maken en demonstratiewebsites op te tuigen, naast de proof-of-concept van Leitschuh zelf.

Zoom is niet alleen getroffen door de - inmiddels gefixte - DoS-bug en de mogelijkheid tot webcamspionage. Er speelt er nog een securityprobleem bij de software voor videoconferencing. Zoom draait op macOS een lokale webserver die na deïnstallatie van de clientsoftware aanwezig blijft. Deze webserver kan de videoconferencing-app opnieuw installeren, zonder dat de gebruiker daarvoor de software hoeft te autoriseren, waarschuwt security-onderzoeker Leitschuh. Het volstaat om een voormalige Zoom-gebruiker een malafide website te laten bezoeken.

Volgens Zoom dient de lokaal draaiende, functioneel beperkte webserver voor gebruikersgemak. "Dit is een workaround voor een verandering die is geïntroduceerd in Safari 12 en die vereist dat een gebruiker bevestigt dat hij de Zoom-client wil starten vóór het meedoen aan een meeting", legt Zoom uit. De lokale webserver neemt deze extra muisklik weg voor de gebruiker.

Niet/wel ernstig

"We menen dat dit een legitieme oplossing is voor een probleem van slechte gebruikerservaring, waardoor onze gebruikers snellere, one-click-to-join meetings kunnen hebben", verdedigt Zoom zijn software-aanpak. "We zijn niet de enige videoconferencingprovider die deze oplossing implementeert." Zoom stelt in zijn reactie op de onthulling van de 0-day dat zijn security- en engineering-teams het niet eens waren met Leitschuh over de ernst van de zaak; die volgens de softwaremaker niet zo groot is maar volgens de ontdekker van de kwetsbaarheid wél.