Una vulnerabilidad en las videollamadas de Zoom expuso las cámaras web de los ordenadores Mac a ataques DoS

Webcam
WebcamPIXABAY - Archivo
Publicado 10/07/2019 13:21:09CET

   MADRID, 10 Jul. (Portaltic/EP) -

   La aplicación de videoconferencias Zoom ha resuelto una vulnerabilidad día cero en los dispositivos Mac que permitía a páginas de Internet acceder a la cámara del ordenador sin el permiso del usuario e incluso, a través de esta técnica, llevar a cabo un ataque de denegación de servicio (DoS, por sus siglas en inglés).

   Esta vulnerabilidad se debe a que la instalación de la aplicación requiere intalar un servidor que permite solicitudes que no aceptarían navegadores habituales. El fallo podría hacer afectado a más de 4 millones de usuarios y un total de 750 mil empresas a nivel global, según explica en su web el experto en ciberseguridad Jonathan Leitschuh.

   Zoom emplea un sistema de enlaces para acceder a las videoconferencia que permite que cualquiera pueda invitar a otro usuario, haya descargado o no la aplicación en su ordeanador Mac.

La vulnerabilidad reside en que, al hacer clic en este link de invitación, se une al usuario automáticamente a una videollamada de conferencia con su cámara encendida, obligándole a entrar en la llamada incluso sin su permiso.

Según ha explicado Leitschuh, la vulnerabilidad de Zoom permite también que cualquier página web pueda llevar a cabo un ataque de denegación de servicio contra usuarios de Mac al enviar de forma repetida invitaciones a una videollamada no válida.

   Además, después de haber desinstalado la aplicación, esta vulnerabilidad sigue presente en el dispositivo, ya que el servidor que se descarga permanece en el ordenador y puede reinstalar el 'software' sin permiso del usuario.

   Para evitar esta vulnerabilidad se debe mantener la aplicación actualizada y deshabilitar la configuración que permite a Zoom encender su cámara de manera automática cuando el usuario se une a una reunión. También se puede desactivar el servidor pero requiere ejecutar algunos comandos de terminal.

   Según Leitschuh, ya le había comunicado esta vulnerabilidad a la empresa Zoom el pasado marzo y explica que la vulnerabilidad se corrigió en un punto desde entonces, pero que una regresión este mes hizo que la vulnerabilidad volviera a funcionar. El problema se corrigió de nuevo este martes.

Contador

Para leer más