Muchos sitios
web maliciosos pueden habilitar la cámara de los ordenadores Mac gracias a una vulnerabilidad en el
cliente Zoom, una conocida aplicación para videoconferencia. Esta vulnerabilidad expone a 750.000 compañías que utilizan
Zoom para sus actividades diarias.
Esta vulnerabilidad
permite que se pueda enviar cualquier enlace de reunión y provocar que el cliente Zoom se abra, teniendo acceso a la cámara web y al micrófono de la víctima.
La vulnerabilidad fue comunicada de forma responsable a la compañía dueña de Zoom, teniendo un plazo de 90 días para corregirlo antes de hacer público el fallo, añadiendo una propuesta de solución que
Zoom podía implementar cambiando la lógica de su servidor.
Zoom tardó 10 días en confirmar que, efectivamente, existía este error, pero la reunión para
saber cómo se repararía este fallo se hizo 18 días antes de que terminara el
plazo de 90 days.
El investigador que descubrió el fallo publicó, tras los 90 days, los detalles y una PoC (Proof of concept) de la vulnerabilidad.
También informó que, si alguna vez habíamos tenido Zoom instalado, por mucho que lo
hayamos eliminado, aún seguiríamos teniendo el servidor web instalado en nuestro equipo y
no se requeriría ninguna interacción por parte del usuario para poder realizar este
attack.