Zoom

Meekijken met webcams mogelijk door kwetsbaarheid in videoconferentieapp Zoom

Laatst bijgewerkt: 9 juli 2019
Leestijd: 1 minuut, 10 seconden

Door een lek in de Mac-versie van de videoconferentieapp Zoom is het mogelijk voor buitenstaanders om mee te kijken met andere webcams. De kwetsbaarheid werd in mei ontdekt door beveiligingsonderzoeker Jonathan Leitschuh, waarna hij het meldde aan het bedrijf. Zoom zelf noemde het een work-around voor beperkingen in Mac-OS, maar bracht wel een patch uit. Ook zegt het bedrijf naar aanleiding van de ontdekking een bug-bountyprogramma te starten.

Reparaties zijn onvoldoende

Volgens Leitschuh is het programma na de patches echter nog steeds te misbruiken. Veel zakelijke klanten gebruiken Zoom om te vergaderen door deelnemers toe te voegen aan een call. Toegang krijgen tot zo’n call blijkt echter makkelijker dan de bedoeling is. Op het moment dat iemand Zoom installeert op een Mac wordt er een lokale server geactiveerd, waarmee andere Zoom-gebruikers aan een gesprek toe te voegen zijn. Het lukte Leitschuh om met een HTTP GET-request toegang te krijgen tot elke Zoom-call waarvan hij het conferentienummer wist.

Gevaar blijft aanwezig

Zoom heeft een patch uitgebracht die een deel van het probleem oplost. Zo wordt er standaard een handtekening toegevoegd aan een verzoek om deel te nemen aan een call. Volgens Leitschuh is dit echter niet genoeg. Zolang het programma op een lokale server draait zijn er volgens de onderzoeker gevaren voor de computer. Een half jaar geleden werd er bijvoorbeeld een kwetsbaarheid in Zoom gedicht, waarmee van een afstand code uitgevoerd kon worden op een computer.

Hoofdauteur:

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen