Una grave falla di Zoom permette di accere alla webcam dei Mac

Giuseppe Tripodi

Se avete mai installato l’app per videoconferenze Zoom sul vostro Mac, in questo momento qualsiasi sito internet può avviare una videochiamata, senza neanche richiedere l’autorizzazione. Lo ha svelato il ricercatore di sicurezza Jonathan Leitschuh, che ha pubblicato un lungo articolo su Medium in cui spiega dettagliatamente quali sono i problemi di Zoom e perché, anche se avete disinstallato l’applicazione, siete comunque a rischio.

Questo perché durante la prima installazione, Zoom installa un web server sul Mac: questo fa sì che i browser accettino richieste che normalmente non dovrebbero essere eseguite, al fine di avviare una videochiamata nel modo più rapido possibile. E non basta aver disinstallato Zoom: anche rimuovendo il software, infatti, il web server rimane ancora attivo e permette di reinstallare Zoom senza alcun intervento da parte dell’utente.

LEGGI ANCHE: Alcuni MacBook Air hanno un problema alla scheda madre, ma Apple li ripara gratis

Leitschuh aveva comunicato la vulnerabilità a Zoom a marzo, ma la società non sembra essere interessata a risolvere il problema: secondo quanto dichiarato dall’azienda, la soluzione del webserver è stata adottata per aggirare un’impostazione di Safari, che richiede all’utente di confermare di voler avviare Zoom ogni volta che riceve una videochiamata. Il team di Zoom difende quindi il suo workaround, considerato una soluzione legittima ad una scarsa user experience, che permette ai nostri utenti di avere meeting facili da raggiungere con un clic, il che è quel che ci differenzia dalla concorrenza.

Dato che Zoom non sembra avere intenzione di cambaire drasticamente il proprio approccio, al momento la soluzione migliore per evitare di esser coinvolti in una videoconferenza per errore è disattivare l’accesso alla webcam di default: potete farlo mettendo una spunta dall’apposita voce del menu (vedi screenshot qui sotto); inoltre, è possibile disattivare il web server dal terminale, come spiegato in fondo nel post di Leitschuh.

Via: TheVerge