L’app per videoconferenze Zoom per Mac ha un difettuccio. Una cosa da nulla: se l’avete installata, come hanno fatto circa 750.000 aziende nel mondo, permette a perfetti sconosciuti di accendere la webcam del vostro Mac quando vogliono e quindi cogliervi in un momento inopportuno oppure spiare e origliare. È sufficiente visitare un sito Web appositamente confezionato oppure cliccare su un link (tipo https://zoom.us/j/492468757) in un messaggio.

Il difettuccio è stato segnalato dal ricercatore Jonathan Leitschuh: l’azienda produttrice dell’app ha preso alla lettera il proprio slogan e ha reso un po’ troppo instant lo sharing. Il ricercatore ha anche preparato una pagina di test.

This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf

— Matt Haughey (@mathowie) July 9, 2019

Non è finita: l’app installa sul Mac un server Web che accetta connessioni da altri dispositivi della stessa rete locale, e questo server continua a funzionare anche se si disinstalla Zoom. Un aggressore che stia sulla stessa rete locale (che può essere anche molto grande e popolata da sconosciuti, per esempio in un albergo) può usare questo server per forzare la reinstallazione dell’app e ricominciare a sbirciare a sorpresa gli altri utenti.

L’azienda ha promesso che distribuirà entro questo mese un aggiornamento correttivo. Non è l’unica ad avere questi problemi: è stata segnalata anche Bluejeans. La cosa interessante, infatti, è che questo difetto è stato introdotto per evitare agli utenti di dover fare un clic in più.

A questo punto quelli con il tappino adesivo davanti alla webcam non sembrano più così paranoici. Sì, io sono uno di loro.


Fonti: Ars Technica, Engadget, Graham Cluley.