Lek in Zoom-software laat toe camera vanop afstand aan te zetten
Een kwetsbaarheid in de Mac-versie van de Zoom webconferentiesoftware zou het websites toelaten om de camera aan te zetten zonder toestemming van de gebruiker. Dat schrijft beveiligingsonderzoeker Jonathan Leitschuh in een post op Medium.
Zoom is een populaire software voor online vergaderingen. Gebruikers kunnen elkaar een simpele link doorsturen om een vergadering te starten. Iedereen die bij de vergadering aansluit, heeft standaard de camera van zijn of haar toestel aan staan. Het zou op die manier mogelijk zijn om iemand, phishinggewijs, op een vergaderlink te laten klikken en hen zo te kunnen bespieden via video. De kwetsbaarheid zou op die manier tot 750.000 bedrijven en vier miljoen mensen kunnen affecteren, die de software gebruiken.
Volgens Leitschuh zou de kwetsbaarheid ook blijven bestaan wanneer de Mac client wordt verwijderd. “Als je ooit de Zoom-software hebt geïnstalleerd en dan weer hebt verwijderd, staat er nog altijd een localhost webserver op je machine die zonder veel problemen de Zoom-clients zal herinstalleren, zonder dat daar enige interactie met de gebruiker voor nodig is”, schrijft hij. “Het enige dat je moet doen is de webpagina bezoeken. De herinstallatie-‘functie’ werkt tot op vandaag.”
Een en ander moet het makkelijker maken voor mensen om elkaar een link te sturen, die dan op automagische manier de vergadering opent. Het is ook, zo merkt Leitschuh op, een stevig beveiligingshiaat.
In zijn post geeft Leischuch enkele mogelijke oplossingen, waaronder het intrekken van Zoom’s toestemming om de camera op te zetten bij het toetreden van vergaderingen.
Leitschuh zegt dat hij maart van dit jaar Zoom verwittigde van het probleem en dat het bedrijf in de komende negentig dagen een patch uitbracht, die echter vrij makkelijk te omzeilen is. Het nieuwe lek is bij schrijven nog niet gedicht.
“Zoom werkt op dit moment samen met een security-onderzoeker die mogelijke bezorgdheid aangaf rond de functie waarbij video-on-by-default functie. Zoom zet standaard de camera van de gebruiker aan wanneer ze bij een vergadering aansluiten. Dit kan in theorie een opening bieden voor een hacker om zijn doelwit zover te krijgen een videomeeting te openen. We hebben op dit moment geen indicatie dat zoiets ooit is gebeurd”, zegt een woordvoerder van Zoom aan TechCrunch.
Fout opgemerkt of meer nieuws? Meld het hier