Kwetsbaarheid in bel-app Zoom voor Mac kan anderen laten meekijken met webcams

Een lek in de Mac-versie van de populaire videoconferentieapp Zoom maakt het mogelijk om mee te kijken met andere webcams. Zoom noemt dat zelf een 'work-around' voor beperkingen in macOS.

Het lek werd in mei ontdekt door een beveiligingsonderzoeker die het aan Zoom meldde. Inmiddels heeft het bedrijf een patch uitgebracht. Onderzoeker Jonathan Leitschuh publiceert nu details, maar zegt daarin ook dat sommige reparaties die Zoom heeft doorgevoerd, slechts pleisters op de wonden zijn. Zoom zegt naar aanleiding van de kwetsbaarheid een bug bounty-programma te beginnen.

Zoom is een videoconferentieapp die door meer dan vier miljoen gebruikers op de Mac wordt gebruikt. Met de app kunnen voornamelijk zakelijke gebruikers gesprekken opzetten door deelnemers toe te voegen aan een call. De authenticatie daarvoor blijkt echter te wensen over te laten.

Als een gebruiker Zoom installeert op een Mac, wordt er een lokale server geactiveerd. Via die server is het vervolgens mogelijk om nieuwe Zoom-gebruikers aan een gesprek toe te voegen. Daarvoor wordt gebruikgemaakt van een api, zodat ook andere apps of websites met de Zoom-app kunnen communiceren. Volgens Leitschuh geeft dat aan dat de app veel meer mogelijkheden heeft dan nodig zijn. "Het feit dat je een app installeert die een webserver op mijn lokale machine zet en waarvan de api niet gedocumenteerd is, vind ik erg dubieus", schrijft hij. "En als iedere website die ik bezoek kan reageren met deze website die op mijn machine draait, dan zie ik dat als een groot gevaar." Leitschuh wist de api zo te manipuleren dat hij met een simpel HTTP GET-request toegang kon krijgen tot iedere Zoom-meeting waarvan hij het conferentienummer wist.

Leitschuh ontdekte dat Zoom geen standaard AJAX-requests gebruikt, maar dat de server afbeeldingen gebruikt en van maat verandert om bepaalde statusmeldingen te tonen. Als de verhouding bijvoorbeeld 1 bij 1 is, is er niets aan de hand, maar een 2 bij 3-verhouding betekent dat er een fout zit in het downloaden van een update. Volgens de onderzoeker gebruikt Zoom die vrij unieke aanpak om de Cross-Origin Resource Sharing of CORS van Safari 12 te omzeilen. Zo ontdekte hij dat de app veel meer toegang tot het systeem had dan hij aanvankelijk dacht. Het feit dat Zoom als een dergelijke lokale server draait, betekent volgens de onderzoeker ook dat een eventuele toekomstige kwetsbaarheid veel schade kan betekenen voor de machine van een slachtoffer. Hij verwijst daarbij bijvoorbeeld naar een kwetsbaarheid die een half jaar geleden werd gedicht in Zoom en waarmee van een afstand code kon worden uitgevoerd op een machine.

Zoom heeft inmiddels een patch doorgevoerd die een deel van de kwetsbaarheid repareert. Zo wordt nu standaard een handtekening toegevoegd aan een request, maar volgens Leitschuh zijn er dan nog steeds mogelijkheden om het lek uit te buiten. Ook kunnen hosts voorkomen dat nieuwe gebruikers in een call direct toegang krijgen tot de video. Leitschuh zegt dat het lek kan worden uitgebuit met een drive-by-download, bijvoorbeeld als een gebruiker via phishing een geïnfecteerde website bezoekt.

Update 10 juli: Zoom gaat het gebruik van een lokale server alsnog stopzetten. Er komt een software-update waarmee de servers gelijk worden verwijderd, schrijft het bedrijf in een blogpost. Zoom zegt dat het aanvankelijk geen probleem zag in het gebruik van een lokale server, maar dat na de grote ophef onder gebruikers toch voor een andere oplossing kiest.

Reacties (48)

Z-Dragon 9 juli 2019 12:10

Het ergste eraan is dat zelfs Zoom verwijderen (in elk geval op een Mac) niet genoeg is. De webserver blijft actief en zodra je een dergelijke linkt opent (wat ook onzichtbaar kan middels een iFrame op een website of in een e-mail), wordt Zoom automatisch opnieuw geïnstalleerd en alsnog gestart. Het lijkt wel spyware...

chaozz @Z-Dragon • 9 juli 2019 12:25

Heb je hier een bron van? Want dit zou wel echt heel slecht zijn.

Jan_V @chaozz • 9 juli 2019 13:15

Dat staat gemeld in nagenoeg ieder artikel dat hierover gaat.
Is ook te valideren door te controleren wat er lokaal allemaal draait op localhost.

Craimasjien @chaozz • 9 juli 2019 15:58

Additionally, if you’ve ever installed the Zoom client and then uninstalled it, you still have a localhost web server on your machine that will happily re-install the Zoom client for you, without requiring any user interaction on your behalf besides visiting a webpage. This re-install ‘feature’ continues to work to this day.

Bron (zelfde pagina als waar dit artikel naar refereert)

Speleding @chaozz • 9 juli 2019 15:59

Doe maar `lsof -i :19421` in je terminal...

boosterbosch @Z-Dragon • 9 juli 2019 13:40

Je kan toch wel nog steeds zien of je cam actief is via het lampje wat bij een Mac hardwarematig gelinkt is aan de cam en kan dus niet uit staan softwarematig.

Maar je hebt wel een punt dat software verwijderen op een Mac niet altijd simpel is.

Patrick_Wolf @Z-Dragon • 9 juli 2019 13:52

Ik heb voor de zekerheid al enige tijd Oversight draaien. Gewoon een tool die kijkt wanneer een ander programma aanroep doet op je microfoon of webcam. Dan weet je ook gelijk of er iets ongevraagds aan de hand is op je systeem.

Verwijderd @Z-Dragon • 9 juli 2019 12:24

Komt ook omdat er bij het verwijderen van een applicatie op macOS nog steeds allerlei spul achterblijft. Zou fijn zijn als alle bestanden worden verwijderd als je iets uit de Applications folder verwijderd. Zoals bij iOS.

Ventieldopje @Z-Dragon • 9 juli 2019 14:04

Dat is het ZoomOpener process, die is weg zodra je opnieuw opstart of hem quit via de activity monitor

Gamebuster 9 juli 2019 10:24

Zoom: Hey, pssst, hier is $$$ als je het niet openbaar maakt.
Onderzoeker: Ja daag

Zoom invited the researcher to join our private paid bug bounty program, which he declined because of non-disclosure terms. It is common industry practice to require non-disclosure for private bug bounty programs.

https://blog.zoom.us/word...onse-to-video-on-concern/

Rel: https://news.ycombinator.com/item?id=20389812

[Reactie gewijzigd door Gamebuster op 23 juli 2024 09:48]

Sharkoon @Gamebuster • 9 juli 2019 10:30

Tsja ik snap het wel, zou het zelf ook proberen haha

Gamebuster @Sharkoon • 9 juli 2019 10:31

Wellicht, maar ik zou er niet over schrijven op mijn eigen blog

WhatsappHack

Security
Beveiliging en antivirus

@Gamebuster • 9 juli 2019 11:33

Lastig te beoordelen zonder de non-disclosure terms te weten. Het is inderdaad min of meer de standaard geworden om bedrijven maximaal een dag of 90 te geven om met een patch te komen (in *overleg* minder of meer) - maar alles erboven heeft geen invloed meer op de bounty als de onderzoeker niet akkoord gaat en op dat punt publiceert. Maar als je al na 5 dagen publiceert kan je je bounty meestal wel vergeten.

Vraag is dan wat Zoom probeerde af te spreken/af te dwingen en wát hij precies allemaal geheim moest houden.

TheRealProcyon @WhatsappHack • 10 juli 2019 11:30

Hij moest een NDA aangaan, wat hij niet vond kunnen aangezien hij van write-ups houdt, wat zorgt voor meer mensen die geïnteresseerd raken in de business. Ook vond hij het zo dat als je een NDA aangaat zorgt dat mensen minder snel reporten. Ook vond hij het bedrag aan de lage kant voor een Zero-day.

De Zoom CEO joinde de call en maakte beloftes. Hopelijk maken ze die nu waar.

WhatsappHack

Security
Beveiliging en antivirus

@TheRealProcyon • 10 juli 2019 14:59

Een NDA tekenen is inderdaad nogal ongebruikelijk bij RD, snap wel dat je dat niet tekent. Heb je een bron? Ben benieuwd naar ‘t hele verhaal

TheRealProcyon @WhatsappHack • 10 juli 2019 15:32

Heb met Jonathan gesproken in de voice call. Er is een Wired artikel dat erover verder in detail gaat. https://www.wired.com/story/zoom-bug-webcam-hackers/

mocean 9 juli 2019 11:21

Elke (app) developer moet toch enorme jeuk krijgen als iemand / een architect komt met de oplossing: we installeren gewoon een lokale webserver zodat we de Browser-sandbox kunnen omzeilen? Echt ongekend.

Gamebuster @mocean • 9 juli 2019 12:41

Ja van de zijlijn is dat altijd makkelijk veroordelen. Het zal vast een punt van discussie geweest zijn. Ze gingen pas de fout in toen er een lek in zat.

2cents

@Gamebuster • 9 juli 2019 12:55

Volgens mij gingen ze de fout al in toen ze de beveiliging (sandbox) gingen omzeilen...

mocean @Gamebuster • 9 juli 2019 12:56

Nee hoor, ze gingen de fout in toen ze ongevraagd een webserver installeerde, die altijd aan staat! Een flinke architectuur/design fout!

GekkePrutser 9 juli 2019 10:31

Ik gebruik deze app regelmatig op Mac voor calls met een externe leverancier.. Bedankt voor het nieuws, ik zal dit bij hen aangeven en vragen om een update.

Sowieso ben ik geen fan van deze app, hij zet standaard je camera aan bij het beginnen van een call tenzij je dit zelf uit zet in de instellingen. Zoiets zou nooit default moeten zijn. Zo vaak mijn collega's gemeld "Psst je camera staat aan!". Een keer lag iemand zelfs in bed (het was overigens daar in India wel 10 uur 's avonds dus zeer begrijpelijk). Maar het is gewoon idioot om standaard ongevraagd de camera aan te zetten.

Zelf heb ik zo'n schuifbare camerasticker op mijn iMac geplakt dus geen last van dit probleem. Maar daar gaat het niet om. Dit moet je gewoon niet ongevraagd doen.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 20:29]

Hann1BaL @GekkePrutser • 9 juli 2019 10:53

Zoom is qua functionaliteit en stabiliteit toch 1 van de betere conferencing tools op de markt. Dit is uiteraard een groot probleem. Ik ben het met je eens dat een eindgebruiker niet zelf een vinkje zou moeten zetten om de camera NIET aan te zetten als je een meeting joint.

Overigens kan de host dit ook standaard uitzetten bij zijn meeting invite en dat is ook wel net zo vriendelijk.
Ik ben het dus met je eens dat een camera NOOIT standaard aan zou moeten mogen staan, maar tegelijkertijd zijn er bij zowel de host als de participant opties om te voorkomen dat de camera aan staat bij het joinen van een Zoom meeting.

GekkePrutser @Hann1BaL • 9 juli 2019 10:58

Klopt ja, onze host heeft het naderhand ook uitgezet.

Maar het probleem is dat het zowel aan de hostkant en de participant kant standaard aan staat bij het maken van een nieuwe invite of het installeren van de app. Dat is iets waar ik een probleem mee heb (en laat ook duidelijk het gebrek aan focus op privacy zien bij dit bedrijf). Daarom verbaast me het minder dat de API zo slecht in elkaar zit.

Verder werkt de app inderdaad goed, al heb ik er wel een hekel aan dat deze standaard op full screen springt zodra iemand zijn desktop begint te delen. Misschien ook iets dat uit te zetten is maar dat is ook weer iets waar ik even in moet duiken (en we hebben maar 1 leverancier die dit gebruikt).

Hann1BaL @GekkePrutser • 9 juli 2019 13:01

Ook de full screen functie kun je uitzetten in de settings. Ik ben het met je eens dat de default anders zouden moeten werken, hoewel ik het doel wel begrijp: een zo goed mogelijke samenwerking.

OxWax @GekkePrutser • 9 juli 2019 10:41

geen alternatieven voor Mac ?
https://www.eztalks.com/v...ing-software-for-mac.html

GekkePrutser @OxWax • 9 juli 2019 10:50

Ja er zijn zat alternatieven. Zelf gebruiken we Skype for Business. Maar ook is er WebEx, Teams etc etc.

Probleem is dat elk bedrijf zijn eigen conferencingtechnologie kiest. Daardoor heb je bij conference calls met externe leveranciers vaak veel verschillende software nodig. Want ze zijn niet compatible met elkaar.

Ubartu @GekkePrutser • 10 juli 2019 12:46

Vanuit de functionaliteit dat je een meeting kunt inplannen, waarbij de (Zoom) meeting automatisch opstart en met alle partijen contact legt op het geplande tijdstip is het wel logisch. De aanwezigen in de ruimte met de meeting apparatuur hoeven dan geen enkele handeling te verrichten om de meeting te starten.

fletnix2.0 9 juli 2019 10:26

Mede hierom dus een stukje zwart plakband standaard op mijn webcam. Evenals op mijn frontcam van mijn telefoon. Geen behoefte aan eventuele pottenkijkers ☺

MicGlou @fletnix2.0 • 9 juli 2019 10:33

Maar misbruik van deze ehhh 'work-around' wordt dus gedaan bij actief gebruik van de webcam, het is immers een videoconferentie app.

Dat het nog steeds geen gemeengoed is bij fabrikanten van laptops om een eenvoudig schuifje in te bouwen vind ik persoonlijk wel verbazend... deze angst bestaat al jaren bij gebruikers en je ziet een dergelijk schuifje maar sporadisch op laptops van een aantal fabrikanten op selecte modellen. Het schuifje zou zelfs een switch kunnen zijn die de camera en microfoon helemaal uitschakelt. Een grote vraag vanuit de consument waar dus nog nooit echt actief op ingesprongen wordt.

hottestbrain

@MicGlou • 9 juli 2019 10:41

Sterker nog, ik wil een laptop zonder Webcam. Niet vanwege pottenkijkers maar ik vind het niet nodig en lelijk.

Hann1BaL @hottestbrain • 9 juli 2019 10:51

Webcams hebben een belangrijke functies voor bedrijven waarbij mensen op verschillende plekken werken. De camera draagt bij aan de kwaliteit van de gesprekken. Webcams zorgen voor een persoonlijkere benadering en minder afleiding tijdens de gesprekken.

Zoom is een platform voor dergelijke omgevingen en zal dus veelal gebruikt worden door mensen met webcam. Ook omdat dit probleem specifiek voor Macs is, heb je daar dus per definitie last van want volgens mij zijn alle macbooks voorzien van webcam.

edit:
je persoonlijke voorkeur is prima, maar ik verbind het even met de doelgroep van dit product waar je als thuisgebruik niet de doelgroep bent. Daarnaast dus het feit dat het hier over de mac versie gaat waarbij de laptops allemaal over een webcam beschikken en het dus in deze context geen meerwaarde heeft om te praten over voorkeur van webcam of geen webcam voor je laptop thuis.

[Reactie gewijzigd door Hann1BaL op 23 juli 2024 09:48]

hottestbrain

@Hann1BaL • 9 juli 2019 10:53

Ik begrijp nog niet geheel waarom ik dan thuis aan een webcam zou moeten op een laptop die ik alleen voor muziek produceren, fallout 4 en youtube kijken gebruik. Optioneel zou erg fijn zijn. Idem overigens voor de frontcam op mijn telefoon. Ook lelijk in de weg en ik gebruik het simpelweg nooit.

OxWax @hottestbrain • 9 juli 2019 10:56

https://www.91mobiles.com...es/mobiles-without-camera

pieterdebie @fletnix2.0 • 9 juli 2019 11:13

Ik volg je volledig:
- werklaptop: een plijster over de webcam (dit is makkelijker achteraf te verwijderen dan een sticker)
- desktop: webcam achterstevoren
- smartphone: OP7 pro -> uitschuifbare frontcam (was effectief één van de redenen)

Ik snap niet dat er standaard zo weinig, simpele hardware fixes voor dit probleem zijn. Een simpele schuiver is voldoende.

stresstak @pieterdebie • 9 juli 2019 18:35

Ik volg je volledig:
- werklaptop: een plijster over de webcam (dit is makkelijker achteraf te verwijderen dan een sticker)

Pleisters kleven anders best hardnekkig na een tijdje; met dradentrekkende gom.
Beter plak je de post-it met je wacht woord over het oogje...

Tubby

9 juli 2019 10:26

ja, krijg er ook bijzonder veel jeuk van als een 3rd party app zelf een HTTP endpoint op mijn machine installeert

ken de app niet, maar kan mij zomaar voorstellen dat dit niet zo duidelijk wordt uitgelegd als je het installeert, en dan is t voor de doorsnee gebruiker gewoon klik-klik-accept-klik-klaar

[Reactie gewijzigd door Tubby op 23 juli 2024 09:48]

jesse! 9 juli 2019 11:14

Zoiets had Facetime ook volgens mij
nieuws: Apple haalt groepsbellen Facetime offline na ontdekking afluister-bug

Z-Dragon @jesse! • 9 juli 2019 12:12

Een cruciaal verschil hier is dat het met Facetime ging om een bug terwijl het bij Zoom bewust zo ontworpen is.

theblindman

9 juli 2019 10:21

Ik schrok even, ik dacht dat het om de ingebouwde Zoom-functie van macOS gaat. Maar het gaat dus om een 3rd party app

ninteresting @theblindman • 9 juli 2019 10:24

Ik dacht net hetzelfde, misschien nutting om dit te verduidelijken in de titel @TijsZonderH ?

Auteur

TijsZonderH Nieuwscoördinator @ninteresting • 9 juli 2019 10:34

Goed punt, we hebben maar beperkte lengte in de kop dus ik moet even puzzelen maar dat ga ik doen!

Gamebuster @theblindman • 9 juli 2019 10:31

Ik ook

Gamebuster @OxWax • 9 juli 2019 12:41

Dat kan ook

biersmurf 10 juli 2019 06:39

Hoe het ontdekt is en welke stappen er zijn ondernomen ( en welke nog niet ) :https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

TheRealProcyon @biersmurf • 10 juli 2019 11:31

Hmhm. Gisteren was het wel interessant in de call. Mensen die joinden, chatroulette achtige taferelen en informatie over beveiliging. De CEO was zeer open en zeer vriendelijk tegen de mensen in het gesprek.

[Reactie gewijzigd door TheRealProcyon op 23 juli 2024 09:48]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (48)

Sorteer op:

Weergave: