Zoom è un’app largamente utilizzata su piattaforma macOS: essa permette di organizzare videoconferenze ed effettuare chiamate video. Molto diffusa in ambito professionale, Zoom soffre però di una grave lacuna di sicurezza che è stata dettagliatamente illustrata dal ricercatore Jonathan Leitschuh.
“Qualunque sito web può forzare un utente a partecipare a una chiamata Zoom e attivare la videocamera senza alcuna autorizzazione” ha spiegato Leitschuh che ha pubblicato a questo indirizzo le prove delle sue asserzioni.
Il problema è duplice: da un lato Zoom attiva un server web in locale posto in ascolto sulla porta 19421 (è facile verificarlo digitando il comando lsof -i :19421
in una finestra del terminale su macOS), dall’altro l’interazione con tale componente è possibile anche da parte di soggetti non autorizzati (ad esempio da parte di una pagina web malevola).
La scoperta di Leitschuh ha evidentemente fatto drizzare i capelli ai tecnici di Apple che hanno deciso di intervenire rilasciando un aggiornamento ufficiale che disabilita il componente server di Zoom. Portavoce della Mela hanno fatto presente che l’aggiornamento non necessita di alcun intervento manuale: gli utenti verranno protetti efficacemente senza peraltro intaccare le funzionalità di Zoom.
Apple aggiorna di frequente il sistema antimalware integrato in macOS ma è piuttosto raro che l’azienda guidata da Tim Cook prenda provvedimenti nei confronti di un’app di terze parti molto conosciuta come Zoom.
Ad oggi oltre quattro milioni di utenti (circa 750.000 aziende) utilizzano Zoom come soluzione per la gestione di videoconferenze.