MADRID, 10 (Portaltic/EP)
La aplicación de videoconferencias Zoom ha resuelto una vulnerabilidad día cero en los dispositivos Mac que permitía a páginas de Internet acceder a la cámara del ordenador sin el permiso del usuario e incluso, a través de esta técnica, llevar a cabo un ataque de denegación de servicio (DoS, por sus siglas en inglés).
Esta vulnerabilidad se debe a que la instalación de la aplicación requiere intalar un servidor que permite solicitudes que no aceptarían navegadores habituales. El fallo podría hacer afectado a más de 4 millones de usuarios y un total de 750 mil empresas a nivel global, según explica en su web el experto en ciberseguridad Jonathan Leitschuh.
Zoom emplea un sistema de enlaces para acceder a las videoconferencia que permite que cualquiera pueda invitar a otro usuario, haya descargado o no la aplicación en su ordeanador Mac.
La vulnerabilidad reside en que, al hacer clic en este link de invitación, se une al usuario automáticamente a una videollamada de conferencia con su cámara encendida, obligándole a entrar en la llamada incluso sin su permiso.
Según ha explicado Leitschuh, la vulnerabilidad de Zoom permite también que cualquier página web pueda llevar a cabo un ataque de denegación de servicio contra usuarios de Mac al enviar de forma repetida invitaciones a una videollamada no válida.
Además, después de haber desinstalado la aplicación, esta vulnerabilidad sigue presente en el dispositivo, ya que el servidor que se descarga permanece en el ordenador y puede reinstalar el 'software' sin permiso del usuario.
Para evitar esta vulnerabilidad se debe mantener la aplicación actualizada y deshabilitar la configuración que permite a Zoom encender su cámara de manera automática cuando el usuario se une a una reunión. También se puede desactivar el servidor pero requiere ejecutar algunos comandos de terminal.
Según Leitschuh, ya le había comunicado esta vulnerabilidad a la empresa Zoom el pasado marzo y explica que la vulnerabilidad se corrigió en un punto desde entonces, pero que una regresión este mes hizo que la vulnerabilidad volviera a funcionar. El problema se corrigió de nuevo este martes.