Allvarlig webbkamera­sårbarhet i video­konferensapp

Videokonferenstjänsten Zoom är populär i företagssammahang för att låta medarbetare prata med varandra och för att anordna så kallade webbinarier. För att ansluta till möten behöver deltagarna installera ett program på sin dator eller mobil. Nu rapporterar säkerhetsforskaren Jonathan Leitschuh om allvarliga sårbarheter i Mac OS-versionen av det programmet. Zoom verkar beklagligt nog inte ta saken på allvar.

Uppdatering 2019-07-10: Läs Zoom kryper till korset.

Sårbarhet i Zooms Mac OS-program

Den allvarligaste sårbarheten som Leitschuh har hittat är synnerligen integritetskränkande. Genom att lura offer att klicka på en länk kan angripare få offrens dator att automatiskt ansluta till ett Zoom-möte och börja strömma video från datorns webbkamera. Zoom-programmet behöver inte vara ingång för att sårbarheten ska kunna utnyttjas.

Faktum är att programmet inte ens behöver vara installerat för att sårbarheten ska kunna utnyttjas. Programmet behöver bara ha varit installerat en gång i tiden. Det avinstalleras nämligen inte helt utan lämnar kvar en odokumenterad webbserver på datorn för att förenkla återinstallation. Detta är metoder som enbart hör hemma i skadeprogramsvärlden.  

Sårbarheten är nu känd

Leitschuh gav Zoom 90 dagar att åtgärda problemet innan han publicerade sårbarheten för allmänheten, vilket är praxis i IT-säkerhetsbranschen. Zoom hann inte åtgärda problemet och nu finns instruktionerna för hur attacken utförs publikt publicerade. Enligt Leitschuh är över fyra miljoner Mac-användare i riskzonen.

Obegripligt nog verkar inte Zoom ta problemet på allvar. Deras svar till Leitschuh och The Verge tyder på att de prioriterar användarvänlighet över all form av säkerhet. I Zooms officiella uttalande poängterar de dock att användaren märker ifall ett möte startar (Zoom-fönstret dyker upp på skärmen) samt att de inte har några indikationer på att sårbarheten har utnyttjats.

Åtgärd för problemet

Zooms oförmåga att lösa problemet gör att Mac-användare som har installerat programmet måste vidta manuella åtgärder. Användare som fortfarande vill använda Zooms program löser problemet genom att öppna programmet, gå till Settings, välja Video och kryssa i Turn off my video when joining a meeting.

Zooms inställningar för webbkameror
Kryssa i den markerade rutan i Zooms webbkamerainställningar.

Alla andra användare bör ta bort kamerarättigheten för Zooms program helt genom att öppna Systeminställningar, gå till Integritet och Säkerhet, välja Integritet och kryssa ur Zoom.us från kameraåtkomstslistan.

Mac OS-inställningar för kameraåtkomst
Kryssa ur rutan som ger Zoom.us åtkomst till webbkameran.

Observera att denna åtgärd endast löser problemet med angripare som spionerar via kameran. Angripare kan fortfarande lura offer att ansluta till webbmöten som de inte har tänkt ansluta till.

Alla som har haft Zooms program installerat på sin Mac måste antingen installera det igen för att åtgärda problemet eller radera det fullständigt. Fullständig radering kräver tyvärr arbete i terminalen eftersom Zoom, likt ett virus, försöker att nästla sig fast i datorn. Leitschuh har publicerat instruktioner för hur programmet raderas helt. Vi har bekräftat att metoden fungerar på Mac OS 10.14 (”Mojave”) och kommande Mac OS 10.15 (”Catalina”).

Uppdatering 2019-07-10: Nu är det lättare att bli av med programmet. Läs Zoom kryper till korset.

Avslutande kommentar

Det är helt oacceptabelt av Zoom att låta en odokumenterad webbserver fortsätta köra på användarnas datorer efter att de har försökt att avinstallera programmet. Mot denna bakgrund avråder vi från att använda Zooms produkter. Det finns många andra lösningar för webbkonferenser och webbinarier som inte ens kräver att deltagarna installerar något program på sina datorer eller mobiler.