Zoom kryper till korset

Igår rapporterade vi om hur den populära videokonferenslösningen Zooms Mac OS-app gjorde att angripare kunde spionera på offer via deras webbkameror. På grund av Zooms skadeprogramsliknande metoder räckte det inte med en avinstallation för att bli av med det sårbara programmet. Till råga på allt verkade inte Zoom ta saken på allvar.

Så här en dag senare kryper Zoom till korset. I ett officiellt blogginlägg skriver Zoom att de inledningsvis inte tyckte att deras webbserver utgjorde någon signifikant risk och att den fyllde en viktig funktion. Efter gårdagens reaktioner från användare och från säkerhetsbranschen väljer de ändå att göra ändringar.

Initially, we did not see the web server or video-on posture as significant risks to our customers and, in fact, felt that these were essential to our seamless join process. But in hearing the outcry from some of our users and the security community in the past 24 hours, we have decided to make the updates to our service.

Zoom.us

Uppdateringar löser problemet

I gårdagens artikel beskrev vi hur komplicerat det var att avinstallera den skadeprogramsliknande webbservern. Detta har Zoom nu åtgärdat. Genom att uppdatera programmet till den senaste versionen raderas webbservern automatiskt. Zoom-användare som inte vill fortsätta använda Zooms tjänster kan därefter avinstallera Zoom-programmet helt, utan att det lämnar några spår efter sig.

Alternativ för avinstallation i senaste versionen av Zooms Mac OS-app.
I den senaste versionen av Zooms Mac OS-app finns ett menyalternativ för avinstallation.

Observera att Mac OS-användare som redan har avinstallerat Zoom-programmet måste installera det igen (eller följa säkerhetsforskaren Leitschuhs terminalinstruktioner) för att bli av den odokumenterade webbservern.

Uppdatering 2019-07-11: Apple har använt Mac OS inbyggda automatiska funktion för skadeprogramsrensning för att ta bort den odokumenterade webbservern. Före detta Zoom-användare behöver därför inte återinstallera programmet.

Zoom planerar att släppa ytterligare en uppdatering till helgen som ger användaren bättre kontroll över huruvida webbkameran ska vara påslagen vid anslutning till möten.  

Moderna alternativ behöver inget program

Förr i tiden krävde alla videokonferens- och webbinarielösningar att deltagarna installerade program eller webbläsartillägg på sina datorer. Med moderna videolösningar behövs inte det. Alla webbläsare som är värda sitt namn stödjer idag en teknik som kallas WebRTC. Konferenslösningar som baseras på WebRTC låter deltagarna ansluta till möten och webbinarier utan att installera något program.

Vi rekommenderar webbläsarbaserade lösningar av två anledningar. För det första blir det säkrare. Ju färre program vi har på våra datorer, desto mindre blir attackytan. För det andra underlättar det för deltagarna. Alla som någon gång har anordnat ett webbinarium vet att deltagare faller bort om de tvingas att installera ett program. Det är inte ens säkert att alla deltagare har rättighet att installera program på sina datorer. Välj därför med fördel webbläsarbaserade konferenslösningar.