Un fallo de seguridad en la aplicación Zoom (videoconferencias) permite activar la cámara web de forma remota sin consentimiento

Los problemas de seguridad en entornos Apple no aparecen únicamente en el software desarrollado por la compañía de la manzana. Ya hemos visto muchos casos de apps o programas los cuales tienen alguna vulnerabilidad y esta puede ser explotada para conseguir activar funcionalidades (como la cámara web en este caso que vamos a ver) o incluso para ejecutar algún tipo de malware. La conocida aplicación Zoom para videoconferencias tiene una de estas vulnerabilidades que ha puesto en alerta a toda la comunidad Apple.
El investigador Jonathan Leitschuh ha descubierto una forma de forzar prácticamente a cualquier Mac a unirse a una videollamada con la app de Zoom enviando un simple enlace como este: https://zoom.us/j/492468757. Es decir, puede hacer que un usuario que tenga la aplicación instalada se una a la videollamada (sin ningún proceso de validación o aceptación) lo que implica la activación de la cámara web sin su consentimiento (CVE-2019–13450). Hay que destacar que esta vulnerabilidad está en conocimiento de la empresa Zoom desde el mes de marzo sin que haya sido solucionada por completo. De hecho (y esto es una funcionalidad) la aplicación permite habilitar una opción que activa la cámara web por defecto de los integrantes de la videoconferencia (Figura 1), aunque esta vulnerabilidad permite activarla incluso con esta opción desactivada.

Figura 1. Activación automática de la cámara cuando se crea una videollamada con Zoom. Fuente.
La app crea un servidor web en cada dispositivo utilizando para ello el puerto 19421 y de esta forma, facilitar todo el proceso de videollamada. En este servidor web es el lugar en el cual recae la vulnerabilidad que puede ser explotada para controlar la webcam, simplemente insertando el código malicioso en dicho servidor web “oculto” que se instala en cada máquina cada vez que se une a una videollamada. La solución para evitar que alguien pueda explotar esta vulnerabilidad en nuestro equipo es sencilla, ya que sólo hay que desactivar la opción “Turn off my video when joining a meeting” (Figura 2).
Figura 2. Activación de la opción para evitar que se active el vídeo por defecto al unirse a una videollamada. Fuente.
Pero además, el investigador ha descubierto que dicho servidor web persiste en el Mac incluso si la aplicación se ha desinstalado por completo, lo que implica que la única forma de eliminarlo sea manualmente. Por otro lado, también ha encontrado una forma de ataque DoS con CVE-2019–13449 el cual sí que fue solucionado por Zoom en mayo. En cambio, este otro, relacionado con la cámara web, continua activo ya que la empresa no le otorga mucha importancia a este problema. En el blog del investigador se encuentra toda la información detallada e incluso una PoC. Parece que al final no es mala idea eso de tener una pegatina que tape la webcam 😉

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.