Videopuhelusovellus mahdollistaa Mac-laitteiden kameran kaappaamisen

Monet meistä tietoturva-asioista tietoiset, ja kenties erityisesti niistä uutisoivat, ovat ottaneet käyttöön erilaiset kikat webbikameroiden peittämiseen. Kiitos tästä kuuluu tietysti jatkuville tiedoille uusista haavoittuvuuksista, jotka mahdollistavat kameroiden kaappaamisen.

Eilettäin uudesta tällaisesta ongelmasta kertoi tietoturvatutkija Jonathan Leitschuh, jonka mukaan videokonferenssiohjelmisto Zoom mahdollistaa väärien henkilöiden pääsemisen käsiksi pahaa-aavistamattomien ryhmävideoihin. Asiasta kertoi The Verge.

Kyseinen ongelma esiintyy erityisesti Mac-tietokoneilla, joissa Zoomia käyttävän henkilön kamerasyötteeseen pääsee käsiksi yksinkertaisesti verkkosivun linkkiä käyttäen. Kun Zoomin asentanut käyttäjä klikkaa linkkiä, niin verkkosivu avaa konferenssipuhelun ja automaattisesti myös kamerasyötteen lupaa sen kummemmin kysymättä.

Tämä ei tosin tapahdu täysin käyttäjän tietämättä, koska linkin avattua aukeaa konferenssipuhelu jolloin käyttäjä todennäköisesti tajuaa ettei halunnut osaksi videpuheluun, mutta yksityisyyden loukkaus voi olla jo tapahtunut, koska kamera aukeaa automaattisesti.

Zoom asentaa koneelle myös webbiserverin, joka saattaa olla vielä suurempi ongelma. Mikäli vielä vakavampaa, niin Zoomin poistaminen ei poista serveriosaa, joka vieläpä pystyy asentamaan konferenssisoftan takaisin.

Alunperin Leitschuh ilmiantoi ongelman Zoomin kehittäjille 90 päivää sitten, mutta sitä ei ole vieläkään korjattu.

Serveri mahdollisti myös muita ongelmia, kuten mahdollisuuden DDoS-hyökkäykseen.

Vaikka kameraongelmaan ei ole julkaistu korjauspäivitystä, niin kameran automaattisen aukeamisen voi estää yksinkertaisella asetuksella. Ensin täytyy varmistaa, että käytössä on uusin versio ja sitten täytyy ottaa käyttöön asetuksista toiminto, joka sulkee kameran, kun konferenssipuheluun liitytään (Turn off my video when joining a meeting).

Zoomin kehittäjän mukaan yhden klikkauksen konferenssipuhelut ovat tietoinen ominaisuus, jolla on haettu käyttäjille helppokäyttöisyyttä. Jatkossa Zoom aikoo muokata ohjelmaa niin, että se muistaa mikäli käyttäjä ei halua kameraa automaattisesti päälle puhelun alkaessa.

This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf

-- Matt Haughey (@mathowie) July 9, 2019

• ryhmävideopuhelu
• videopuhelu
• macOS
• Zoom
• nollapäivähaavoittuvuus
• haavoittuvuus