Si chiama Zoom, è una conosciutissima applicazione per le videoconferenze, e nelle ultime ore è finita sotto i riflettori per una pericolosissima vulnerabilità che permetterebbe ai siti web di accedere ai Mac sui quali è installata e attivare la webcam senza che gli utenti se ne accorgano.

La vulnerabilità "zero day" di Zoom per Mac

A scoprire questa falla è Jonathan Leitschuh, un esperto di sicurezza informatica statunitense che, quando ha fatto la scoperta, ha classificato questa vulnerabilità come "zero day" perché non ancora nota agli sviluppatori dell'applicazione. Secondo quanto scoperto dall'esperto, l'applicazione per le videoconferenze (utilizzata da oltre 4 milioni di utenti in tutto il mondo), disponibile per iPhone, iPad e Mac, consentirebbe a qualsiasi sito web di "avviare forzatamente una chiamata Zoom ed attivare la webcam, senza che l'utente se ne renda conto".

E ciò che rende tutto ancora più grave, è che l'eliminazione del software non basta. Il problema, infatti, potrebbe verificarsi anche dopo la disinstallazione dell'applicazione, tramite un semplice click di un link visualizzato su una pagina web perché, una volta installato il client di Zoom, viene installato a sua volta un server web nato con lo scopo di permettere agli utenti di connettersi più facilmente alle videochiamate, ma che non verrebbe rimosso con la disinstallazione dell'applicazione.

Nei 90 giorni a disposizione prima che la vulnerabilità fosse resa nota è stata rilasciata una patch risolutiva, comunque non sufficiente per mitigare il rischio. Questo perché gli sviluppatori di Zoom hanno da sempre ritenuto la possibilità di partecipare a una videoconferenza tramite un solo click un valore aggiunto della propria offerta, e non hanno voluto rinunciarvi.

Leitschuh ha inoltre scoperto un ulteriore problema di sicurezza: ci potrebbe essere la possibilità che un malintenzionato possa "stressare" il client dell'app per le videoconferenze su Mac inviando continue richieste di partecipazione (utilizzando un accatto DoS) e mettendo a rischio la privacy degli utenti.

Come risolvere la vulnerabilità di Zoom per Mac

Per essere certi di non essere vittime di questa particolare vulnerabilità, è necessario seguire un metodo fai-da-te con il quale si potrebbe risolvere il problema. La procedura richiede l'apertura delle impostazioni dell'applicazione e l'attivazione dell'opzione per il blocco della trasmissione del segnale video quando si partecipa ad una videoconferenza.

È inoltre possibile disabilitare il web server del sistema, aprendo il Terminale di macOS e digitando seguenti comandi:

  • rm -rf ~/.zoomus
  • touch ~/.zoomus

Gli sviluppatori di Zoom hanno da poco risolto il problema

Nonostante la vulnerabilità (catalogata con la sigla CVE-2019-13450) sia stata scoperta lo scorso marzo, gli sviluppatori dell'applicazione hanno rilasciato una patch d'emergenza correttiva solo nelle ultime ore, con la quale hanno sostanzialmente rivisto la loro posizione iniziale ed hanno del tutto eliminato il web server locale, installato dall'applicazione e che – di fatto – rendeva possibile la vulnerabilità.

"Abbiamo voluto installare il web server per permettere agli utenti di unirsi ai meeting senza dover fare ulteriori click e pensiamo sia stata la decisione giusta, anche sulla base delle richieste formulate da alcuni clienti" – ha dichiarato la software house di Zoom – "Riconosciamo e rispettiamo però anche la visione di chi non vuol aver un processo extra installato in locale. Ecco perché abbiamo scelto di rimuoverlo, anche se richiederà un click in più durante l’utilizzo su Safari".

Inoltre, l'ultimo aggiornamento rilasciato dagli sviluppatori (la versione 4.4.53901.0616) introduce anche una nuova opzione che permette la disinstallazione completa di Zoom, che rimuove non solo l'applicazione ma anche tutti i processi aggiuntivi installati.