La historia de Zoom va camino de convertirse en una de las más extravagantes de este 2020, y eso ya es decir. De la noche a la mañana, Zoom se convirtió en una app imprescindible y usada por todo el mundo, desde familias a mandatarios del gobierno.
El punto fuerte de Zoom es que nos permite organizar videoconferencias de manera sencilla y con muchas opciones. Sin mucho trabajo podemos hablar con hasta 100 personas al mismo tiempo; justo lo que necesitamos en esta época de cuarentena por el coronavirus.
Pero la repentina popularidad de Zoom también ha provocado un efecto negativo: mucha gente se está dando cuenta de sus deficiencias, especialmente en lo que respecta a la privacidad. Podríamos rellenar un libro con los problemas descubiertos sólo en las últimas dos semanas.
Zoom abre la puerta de tu Mac
Y ahora se suma otro a la lista. El antiguo hacker de la NSA estadounidense, Patrick Wardle, ha revelado la existencia de dos bugs relacionados con Zoom que permitirían a un atacante tomar el control del Mac de cualquier usuario; incluyendo la posibilidad de grabar lo que captura la webcam y el micrófono.
Las dos vulnerabilidades son efectivas cuando un atacante tiene acceso físico a nuestro ordenador, y permiten no solo acceder al sistema sino también mantener ese acceso una vez que el atacante se ha ido. Por lo tanto, podría servir para instalar malware en nuestro equipo que nos espíe, robe nuestros datos, o haga con nuestro ordenador lo que quiera.
Cómo funcionan los ataques
Irónicamente, la primera vulnerabilidad existe por la manera en la que los desarrolladores de Zoom han conseguido saltarse las medidas de seguridad de macOS.
Es bien sabido que Zoom no necesita que el usuario haga nada para instalar la app; para conseguir eso, la app realiza ciertos pasos que podrían ser aprovechados de manera maliciosa para insertar código. De esta forma, la app daría acceso "root", con todos los permisos, al atacante.
La segunda vulnerabilidad se aprovecha de la manera en la que Zoom gana acceso a la webcam y al micrófono. Como cualquier app de macOS, primero debe pedir el permiso del usuario; el ataque permite que no solo Zoom consiga ese consentimiento, sino también otro programa ejecutado simultáneamente. Ese programa podría activar la webcam y el micrófono cuando quisiera gracias a este permiso, sin mostrar ningún mensaje ni advertencia.
Que esta sea el segundo problema grave sobre Zoom que publicamos hoy en Omicrono dice mucho de la situación en la que se ven inmersos sus creadores.