Home Macity Internet Zoom ha risolto la vulnerabilità della videocamera Mac ma i rischi con...

Zoom ha risolto la vulnerabilità della videocamera Mac ma i rischi con app simili rimangono

Zoom è un software diffuso in ambito professionale per videochiamate e videoconferenze. A fine marzo, il ricercatore Jonathan Leitschuh ha individuato una vulnerabilità concedendo – come da prassi – 90 giorni agli sviluppatori per porre rimedio al problema.

L’inconveniente ha a che fare con il web server installato in locale (porta 19421), un trucco che permette di aggirare varie limitazioni dei browser e che può essere sfruttato per accedere alla videocamera di un computer e spiare chi si trova di fronte, senza destare alcun sospetto, grazie a link creati ad hoc.

Un update rilasciato nella notte disabilita completamente il web server installato in locale per macOS. Questo web server non era eliminato, anche se l’utente cancellava il software client. Con l’ultimo aggiornamento, il web server è disattivato e ora è offerta una funziona che consente di disinstallare Zoom completamente, comprese le varie risorse e il web server.

Tutto bene ciò che finisce bene ma le polemiche intorno ad app di questo tipo non sono finite e pare che anche altre app sfruttino il meccanismo del web server per aggirare limiti intrinseci dei browser. È una pratica abbastanza diffusa, rivela il ricercatore Kevin Beaumon che, su Twitter, elenca altre app di videoconferenza che hanno sfruttano lo stesso “trucco”, citando ad esempio nt RingCentral, identica a Zoom dal punto di vista tecnico e anche BlueJeans.

L’uso di un web server in abbinamento a queste app di videoconferenza è necessario perché da tempo i browser moderni impediscono l’uso dei plug-in NPAPI, permette solo l’uso dei cosiddetti plugin PPAPI. I componenti aggiuntivi vengono in questo modo caricati ed eseguiti in un processo separato dal browser stesso e consentono di avere maggiori garanzie dal punto di vista della sicurezza.

Zoom ha risolto la vulnerabilità del client Mac ma rischi potenziali sono possibili con app simili

Di per sé, l’esecuzione di un server locale su un Mac non è un problema ma potrebbero essere fonte di problemi se questi sono sfruttati per aggirare legittimi meccanismi di sicurezza dei browser. È lecito immaginare che Google, Apple o Mozilla reagiranno di conseguenza, integrando ulteriori restrizioni nei rispettivi browser, impedendo di richiamare servizi differenti dai siti web.

Offerte Speciali

Minimo storico per MacBook Air M1 256 GB: 1037,00 €

MacBook Air M1 256 GB nei colori argento e oro torna al minimo storico: 977 euro

Il portatile più ricercato della nuova ondata di Mac in offerta con uno sconto che lo porta per la prima volta a 977 euro
Pubblicità
Pubblicità

Seguici e aggiungi un Like:

64,767FansMi piace
90,955FollowerSegui