Il difettuccio è stato segnalato dal ricercatore Jonathan Leitschuh: l’azienda produttrice dell’app ha preso alla lettera il proprio slogan e ha reso un po’ troppo instant lo sharing. Il ricercatore ha anche preparato una pagina di test.
This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf— Matt Haughey (@mathowie) July 9, 2019
Non è finita: l’app installa sul Mac un server Web che accetta connessioni da altri dispositivi della stessa rete locale, e questo server continua a funzionare anche se si disinstalla Zoom. Un aggressore che stia sulla stessa rete locale (che può essere anche molto grande e popolata da sconosciuti, per esempio in un albergo) può usare questo server per forzare la reinstallazione dell’app e ricominciare a sbirciare a sorpresa gli altri utenti.
L’azienda ha promesso che distribuirà entro questo mese un aggiornamento correttivo. Non è l’unica ad avere questi problemi: è stata segnalata anche Bluejeans. La cosa interessante, infatti, è che questo difetto è stato introdotto per evitare agli utenti di dover fare un clic in più.
A questo punto quelli con il tappino adesivo davanti alla webcam non sembrano più così paranoici. Sì, io sono uno di loro.
Fonti: Ars Technica, Engadget, Graham Cluley.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
