Através da visita a um site, o utilizador pode ver a sua webcam comprometida.
Só os utilizadores do macOS estão afetados. Além de o vetor de entrada ser pela visita do utilizador a um website, mesmo depois de desinstalado, os atacantes têm ainda assim acesso à webcam; isto, porque o cliente instala um servidor web local que não é removido com a desinstalação do software. Desta forma, o programa reinstala de novo o cliente Zoom sem qualquer interação por parte do utilizador.
Estima-se que existam mais de 4 milhões de utilizadores em risco. A falha no programa toma partido de uma funcionalidade do "click to join", ou seja, a partir de um clique (um convite por link, por exemplo) o utilizador pode ativar a aplicação que esteja no sistema para se juntar a uma reunião por vídeo através do web browser.
Esta funcionalidade tem a particularidade de se aproveitar de um servidor web local que funciona na porta 19421 e que pode receber quaisquer comandos por HTTPS, permitindo também abrir qualquer website no browser dos utilizadores.
Segundo os investigadores, as partes mais importantes do link são as seguintes:.
action=join confno=[número da conferência]
O atacante, de seguida, só precisa de criar um link de convite pela sua conta no website do Zoom e metê-lo num site como se fosse uma tag de imagem ou através de um iframe. Depois é só convencer a vítima a visitar esse mesmo site.
Por esta lógica, o link pode ser espalhado através de uma campanha de spam ou mesmo de phishing.
Este problema pode também provocar um DoS ao sistema da vítima, caso os pedidos GET ao servidor Web local seham bastante abusados em número.
Versões afetadas
4.4.4 para macOS.
Mais informações sobre a vulnerabilidade aqui: https://www.zdnet.com/article/apple-update-kills-off-zoom-web-server/
Desativar permanentemente o servidor web local: https://www.macworld.com/article/3407764/zoom-mac-app-flaw-camera-patch.html