Tech

Door een kwetsbaarheid in Zoom kunnen hackers je webcam kapen

Een webcam met een waarschuwingsscherm

Deze week maakte een beveiligingsonderzoeker bekend dat de populaire videoconference-software Zoom verschillende beveiligings- en privacyproblemen heeft. Hij deed dat nadat het bedrijf de problemen niet zelf oploste of bekendmaakte. Via een van de kwetsbaarheden kunnen websites de webcam van een Mac-gebruiker inschakelen zonder dat ze daarvoor toestemming geven of ervan op de hoogte zijn. De kwetsbaarheden waren nog steeds niet opgelost toen dit artikel gepubliceerd werd.

“Je kunt dit beveiligingslek nog steeds gebruiken om iemand zonder toestemming met iemand anders te laten videobellen,” schrijft Jonathan Leitschuh, een beveiligingsonderzoeker van opensourcesysteem Gradly, in een blog. Hij voegde twee links aan zijn blog toe, waarmee Mac-gebruikers van Zoom het voor zichzelf kunnen zien.

Videos by VICE

Als je op deze link op een Mac klikt, word je naar een Zoom-call geleid:

https://jlleitschuh.org/zoom_vulnerability_poc/

En als je op deze link op een Mac klikt, word je naar een Zoom-call geleid waarbij je camera ook aanstaat:

https://jlleitschuh.org/zoom_vulnerability_poc/zoompwn_iframe.html

Het probleem met de link die de webcam van iemand inschakelt, bestaat op het moment van schrijven nog steeds.

1562752616340-blob
Een screenshot van het webcamprobleem met Zoom

Het probleem zit ‘m erin dat Zoom de persoon die het gesprek begint – of dat nou iemand van je bedrijf is die een conference call begint of een hacker – de macht geeft om te beslissen of de webcams van de deelnemers aan het begin van dat gesprek aanstaan of niet. Leitschuh zegt dat Zoom dit in de eerste instantie wel had opgelost en daadwerkelijk iemand heeft tegengehouden die andermans camera wilde inschakelen. Maar toen ontdekte hij een probleem met de patch en kwam hij erachter dat hackers alsnog iemands webcam konden inschakelen. Leitschuh gaf Zoom negentig dagen om het probleem op te lossen voordat hij het openbaar zou maken. wat gangbaar is in de IT-beveiliging.

Leitschuh voegde een stukje code aan zijn blog toe, en schreef dat “het enige wat iemand zou moeten doen is het bovenstaande in een website embedden. Elke Zoom-gebruiker zal dan direct verbonden worden, met de webcam aan.” Het lek kan volgens Leitschuh worden gebruikt voor kwaadwillende advertenties of phishing-campagnes.

Er is nog een ander probleem. Zelfs als iemand Zoom heeft verwijderd, laat het programma nog steeds een webserver op de computer van de gebruiker draaien, zodat Zoom nog steeds software op het apparaat kan downloaden. Dit is geen onoplettendheid, maar een bewuste beslissing van Zoom. Het is ontworpen om het programma snel – en het lijkt stiekem – opnieuw te kunnen installeren als een gebruiker op een conference call-link van Zoom klikt.

“Ik ontdekte dat deze webserver de Zoom-app ook opnieuw kan installeren als een gebruiker ‘m heeft verwijderd,” schrijft Leitschuh.

Leitschuh zegt dat hij een aantal uren naar een vermelding van deze desktop-webserver heeft gezocht – in zowel officiële als onofficiële teksten. “De API van deze webserver is voor zover ik weet helemaal niet gedocumenteerd,” schrijft hij.

“Het voelt nogal schimmig dat een geïnstalleerde app een webserver op mijn computer draait, met een volledig ongedocumenteerde API. Daarnaast gaan bij mij als beveiligingsonderzoeker alle alarmbellen af door het feit dat elke website die ik bezoek kan communiceren met deze webserver.”

In zijn blog geeft Leitschuh een aantal maatregelen die je kunt treffen om de webserver van je Mac te verwijderen. Je hoeft slechts een paar korte commands in te voeren in de terminal.

Leitschuh heeft tijdens zijn hele klokkenluidersproces met Zoom gecommuniceerd over de problemen. Zoom heeft een blogpost op hun website gezet: “We hebben besloten om onze gebruikers nog meer controle te geven over hun video-instellingen. De videovoorkeuren van de gebruikers zullen vanaf onze aankomende release in juli 2019 worden opgeslagen vanaf hun eerste Zoom-conference en toegepast in alle toekomstige Zoom-conferences.”

Over de webserver zegt Zoom in dezelfde blogpost: “We denken dat dit een legitieme oplossing is om slechte gebruikerservaringen tegen te gaan. Onze gebruikers kunnen zo met één klik deelnemen aan conferences. We zijn niet de enige videoconference-aanbieder die deze oplossing heeft geïmplementeerd.”

Motherboard heeft aan Zoom gevraagd of het bedrijf van plan is de webserver van de computers van gebruikers te verwijderen. Een woordvoerder antwoordde per e-mail: “Er was geen makkelijke manier om een gebruiker te helpen zowel de Zoom-clientapp als de lokale webserver-app te verwijderen. Dit was een oprechte vergissing. De gebruiker moet deze twee apps nu handmatig vinden en verwijderen. Tegen dit weekend zullen we een nieuwe app introduceren om de gebruiker te helpen om beide apps eenvoudig te verwijderen.”

Inmiddels is die patch verschenen. In een begeleidende blogpost schrijft Zoom: “We stoppen met het gebruik van een lokale webserver op Mac-apparaten.” Zoom staat gebruikers nu toe om alle onderdelen van het programma handmatig te verwijderen, inclusief de webserver.