Zoom fixt webcamgat en schrapt lokale webserver

Zoom heeft een reeks aan updates toegevoegd aan zijn blogpost waarin het aanvankelijk een 0-day gat in zijn Mac-software bagatelliseerde. Gebruikers van de videoconferencing-app konden door een kwetsbaarheid worden toegevoegd aan een online-vergadering waarbij de camera (en microfoon) van hun Macs automatisch werden geactiveerd. Bezoeken van een malafide website met een Zoom-commando, of bekijken van een mail met daarin die code, was afdoende om via deze kwetsbaarheid begluurd te kunnen worden.

'Toch wel ernstig'

De ontdekker van dit beveiligingsgat heeft het in maart bij Zoom gemeld en is vervolgens deze maand overgegaan tot publieke bekendmaking. Deze openbare onthulling is gedaan omdat Zoom de zaak uiteindelijk niet had gefixt, na het verlopen van de vaak gehanteerde periode van 90 dagen. Daarbij heeft Zoom nog extra uitstel gekregen. De softwaremaker en de security-onderzoeker verschilden echter van mening over de ernst van het ontdekte probleem.

Zoom erkent nu dat het de zaak verkeerd heeft ingeschat. Het bedrijf heeft een patch uitgebracht voor zijn Mac-clientsoftware, waarover gebruikers een pop-up melding krijgen dat de app kan worden bijgewerkt. Handmatig downloaden is ook mogelijk. "We waarderen het harde werk van de security-onderzoeker in het identificeren van security concerns op ons platform", meldt Zoom in één van zijn updates voor de initiële reactie.

Gebruiksgemak versus security

"Aanvankelijk zagen we de webserver en de video-on instelling niet als significante risico's voor onze klanten." Sterker nog: in de eerste, afwimpelende reactie legde Zoom uit dat de standaard instelling voor activering van video en de lokaal draaiende webserver voor groter gebruikersgemak waren. De geïnstalleerde webserver was in wezen een omzeiling van een beveiligingsmaatregel die Apple had doorgevoerd in de Safari-webbrowser. Gebruikers moesten daardoor met een extra klik het starten van de Zoom-software autoriseren.

De nu beschikbare patch update de Zoom-clientsoftware en verwijdert daarna de lokale webserver. Zoom verklaart dat het geheel stopt met zijn gebruik van een lokaal draaiende webserver, waarover het eerder nog ter verdediging stelde dat wel meer leveranciers dit doen. Wat inderdaad het geval is. Daarnaast krijgen Zoom-gebruikers nu de optie in de menubalk van de videoconferencing-app om die software te deïnstalleren. Dit omvat dan ook de webserver, die voorheen na verwijdering van de app nog achterbleef. Security-onderzoeker Jonathan Leitschuh, die deze zaak heeft ontdekt en onthuld, vreesde voor misbruik via deze 'stiekem draaiende' webserver maar dat is vooralsnog niet aan de orde gebleken.

CEO in 'chatroulette'

Na de openbaarmaking van de kwetsbaarheid, compleet met demonstratiecode (proof-of-concept, PoC), hebben diverse security-onderzoekers en gealarmeerde Zoom-gebruikers meegedaan aan automatische Zoom-meetings, waaronder die van ontdekker Leitschuh. Dit om de zaak te testen en dan ook te kunnen bespreken. CEO Eric S. Yuan van Zoom is zelf ingesprongen op deze 'party chat' en heeft daar tekst en uitleg gegeven over de ommekeer die zijn bedrijf nu maakt over dit 0-day gat.