A Apple enfrenta mais uma vulnerabilidade que coloca em risco a privacidade dos clientes. Nesta terça-feira (8), o pesquisador de segurança Jonathan Leitschuh revela em seu blog que uma falha zero-day — brecha de segurança explorada antes que a empresa a solucione — foi encontrada no aplicativo de videoconferências Zoom, instalado em MacBooks.
O erro permite que qualquer website force o usuário a participar de uma videoconferência pelo Zoom e ative a câmera sem sua permissão. Assim, qualquer website pode iniciar um ataque de negação de serviço (também conhecido como DoS) contra um MacBook e tornar indisponíveis todos os recursos do sistema. É possível fazer isso a partir do envio repetido de códigos ao sistema para conectar o usuário a uma chamada inválida.
Isso ocorre porque o Zoom instala nos Macs um servidor web que aceita solicitações que outros navegadores não aceitam. Segundo Leitschuh, se o app for desinstalado, esse servidor permanece na máquina e pode reinstalar o Zoom sem autorização do usuário. Para isso, basta que ele visite uma página da internet danosa que permita a ativação da falha de segurança.
O The Verge conversou com Leitschuh e fez uma simulação que confirmou a vulnerabilidade. A equipe da reportagem clicou em um link num MacBook com o Zoom instalado e configurado para ativar a câmera ao iniciar uma chamada. O usuário foi automaticamente conectado a uma teleconferência.
Soluções para a falha
Leitschuh diz que notificou a vulnerabilidade ao Zoom em março, mas a empresa não fez o suficiente para eliminar a falha. Ele informou, ainda, as equipes do Chromium (Google Chrome) e do Mozilla sobre o bug, mas, como o problema não envolve esses navegadores, não há muito que seus desenvolvedores possam fazer.
Para impedir que websites invadam a câmera do computador, é importante manter o aplicativo atualizado e desativar a configuração que liga a câmera automaticamente em chamadas de vídeo pelo app. A simples desinstalação do Zoom não corrige a vulnerabilidade, porque o servidor web do aplicativo continua no MacBook.
Em comunicado à imprensa emitido depois que o pesquisador fez a publicação em seu blog, o Zoom informa que desenvolveu o servidor web local para eliminar alguns cliques do usuário. Isso porque, de acordo com a empresa, a Apple alterou o navegador Safari de modo que os usuários do app precisavam confirmar que queriam iniciar o Zoom todas as vezes que iam usar a plataforma.
A companhia defende o que chama de “solução alternativa” (o servidor web) como “solução legítima para uma experiência ruim e para permitir que os usuários tenham reuniões ininterruptas, com um único clique para entrar”.
Além disso, a empresa diz que vai fazer um pequeno ajuste no aplicativo. Dessa forma, a partir de julho, o Zoom salvará as preferências de usuários e administradores para que o sistema entenda se o vídeo deve ser ligado ou não quando eles entrarem pela primeira vez em uma chamada.