La aplicación de videoconferencias
Zoom ha resuelto una vulnerabilidad día cero en los dispositivos Mac que
permitía a páginas de Internet acceder a la cámara del ordenador sin el permiso
del usuario e incluso, a través de esta técnica, llevar a cabo un ataque de
denegación de servicio (DoS, por sus siglas en inglés).
Esta vulnerabilidad se debe a que la
instalación de la aplicación requiere intalar un servidor que permite
solicitudes que no aceptarían navegadores habituales. El fallo podría hacer
afectado a más de 4 millones de usuarios y un total de 750 mil empresas a nivel
global, según explica en su web el experto en ciberseguridad Jonathan
Leitschuh.
Zoom emplea un sistema de enlaces para
acceder a las videoconferencia que permite que cualquiera pueda invitar a otro
usuario, haya descargado o no la aplicación en su ordeanador Mac.
La vulnerabilidad reside en que, al
hacer clic en este link de invitación, se une al usuario automáticamente a una
videollamada de conferencia con su cámara encendida, obligándole a entrar en la
llamada incluso sin su permiso.
Según ha explicado Leitschuh, la
vulnerabilidad de Zoom permite también que cualquier página web pueda llevar a
cabo un ataque de denegación de servicio contra usuarios de Mac al enviar de
forma repetida invitaciones a una videollamada no válida.
Además, después de haber desinstalado
la aplicación, esta vulnerabilidad sigue presente en el dispositivo, ya que el
servidor que se descarga permanece en el ordenador y puede reinstalar el
'software' sin permiso del usuario.
Para evitar esta vulnerabilidad se
debe mantener la aplicación actualizada y deshabilitar la configuración que
permite a Zoom encender su cámara de manera automática cuando el usuario se une
a una reunión. También se puede desactivar el servidor pero requiere ejecutar
algunos comandos de terminal.
Según Leitschuh, ya le había
comunicado esta vulnerabilidad a la empresa Zoom el pasado marzo y explica que
la vulnerabilidad se corrigió en un punto desde entonces, pero que una regresión
este mes hizo que la vulnerabilidad volviera a funcionar. El problema se
corrigió de nuevo este martes.
Fuente: Europa Press