Nieuw Zoom-lek straft wie de software verwijderde

Mac-gebruikers die Zoom van hun systeem verwijderde na de onthulling van mogelijk misbruik door een lek, zijn gevoelig voor een nog grotere kwetsbaarheid.

Een kwetsbaarheid in de Zoom-videoconferentiesoftware op Mac zorgde ervoor dat hackers vanop afstand de webcam van een toestel konden inschakelen. Intussen lanceerde Zoom een patch maar het is begrijpelijk is je in afwachting daarvan de software van je Mac kieperde. Enige probleem: door Zoom te verwijderen maakte je systeem kwetsbaar voor nog ernstiger misbruik.

Het probleem is het ‘ZoomOpener’-proces. Dat blijft ook na deïnstallatie achter op de Mac en zorgt ervoor dat je Zoom meteen opnieuw kan installeren door op een link voor een videocall te klikken. De lokale ZoomOpener-webserver laat zich daarvoor vertellen waar het installatiepakket voor Zoom te vinden is. Enkele legitieme bronnen zoals zoom.com of zipow.com zijn hardgecodeerd als veilig. Het probleem steekt te kop op wanneer het proces het domein van waarop een installatiepakket wordt gepushed niet herkend.

Code injecteren

In dat kijkt het enkel naar het suffix van het domein opzoek naar legitimiteit. Dat betekent concreet dat een bestand afkomstig van www.ikhackjemackapot.be/zoom.us als veilig wordt bekeken. Dat laat een hacker dan weer toe om arbitraire code te injecteren op een toestel.

De kwetsbaarheid werd ontdekt door onderzoekers van Assetnote. Intussen is Zoom gestopt met het gebruiken van lokale webservers op Mac moeten de kwetsbaarheden in principe verholpen zijn. Apple rolde zelf een update uit waarmee alle webserverfunctionaliteit van Zoom en white label Zoom-producten werd afgesloten.

Gerelateerd: Zoom-kwetsbaarheid kan websites ongevraagd webcam laten inschakelen op Mac