Apple pusht update naar macOS om kwetsbaarheid in bel-app Zoom op te lossen

Apple heeft een update gepusht naar macOS die de lokale server van conferentieapplicatie Zoom verwijdert als deze aangetroffen wordt. Apple doet dat vanwege de kwetsbaarheid die eerder aan het licht kwam. Gebruikers hoeven de update niet zelf door te voeren.

Apple bevestigt tegenover TechCrunch dat de update is verstuurd en dat daarmee de verborgen webserver die Zoom op macOS-systemen zet verwijderd wordt. Het functioneren van de app wordt daarmee niet beïnvloed, maar door het verwijderen van de lokale server zijn gebruikers niet meer kwetsbaar volgens Apple.

Begin deze week werd bekendgemaakt dat er een kwetsbaarheid zit in Zoom waardoor anderen mee kunnen kijken op webcams. Als gebruikers Zoom installeren op een Mac, wordt er een lokale server geactiveerd. Daarmee is het mogelijk om nieuwe Zoom-gebruikers aan een videogesprek toe te voegen. De api die daardoor gebruikt wordt is niet gedocumenteerd en is te manipuleren, waardoor het mogelijk is om toegang te krijgen tot iedere Zoom-meeting waarvan het conferentienummer is te achterhalen.

De webserver blijft op het systeem staan als gebruikers de Zoom-software verwijderen. Zoom bracht zelf wel een update uit die de lokale server ook verwijderde, maar gebruikers moesten daarvoor zelf het programma updaten. Door de update naar alle systemen te pushen lost Apple de kwetsbaarheid op voor alle gebruikers, ook als zij niet op de hoogte zijn en de software niet updaten, of als zij de software eerder al hadden verwijderd.

Reacties (45)

Kratos 11 juli 2019 08:11

Is dit een app update of een systeem update?

Rembert @Kratos • 11 juli 2019 09:14

Geen van beiden. Het is een update in XProtect, de built-in anti-virus op de Mac - je krijgt daar nooit update-meldingen van. Er wordt in dit geval een software-certificaat signature geblacklist zodat die server niet meer automatisch opstart. De Zoom server wordt dus niet verwijderd. Apple heeft nog een ander wapen in huis: het intrekken van de developer certificates van Zoom waardoor de app niet meer werkt (tenzij je de settings handmatig aanpast). Dat intrekken van die certificaten zou voor Zoom behoorlijk problematisch zijn.
Bron: MacRumors, https://forums.macrumors....-zoom-web-server.2189437/

[Reactie gewijzigd door Rembert op 23 juli 2024 00:40]

Keypunchie

Apple

@Rembert • 12 juli 2019 16:06

Het is geen update van XProtect, maar van Malware Removal Tool.

Kawaii @Kratos • 11 juli 2019 08:14

Een systeemupdate. Als je namelijk de Zoom applicatie op je systeem had, maar deze had verwijderd dan was de applicatie welliswaar niet meer beschikbaar maar de webserver bleef wel op je systeem staan. Deze gebruikers zouden dus blijven zitten met een lekke webserver op hun systeem, want Zoom heeft welliswaar een update vrijgegeven, die de webserver verwijderde, maar enkel mensen met Zoom op hun systeem kregen deze update. Met de systeem update van Apple wordt de webserver bij alle users verwijderd.

page404 @boner • 11 juli 2019 09:20

In de andere reacties staat al uitgelegd dat het waarschijnlijk meer een update van de ingebouwde malware/virusscanner is. Dat je virusscanner bepaalde websites blockt vind je waarschijnlijk wel weer logisch

dit is eigenlijk hetzelfde.

boner @page404 • 11 juli 2019 09:40

Ehm... Nee. Een virusscanner kan ik, als ik dat wil, uitzetten of een exception voor een bepaalde website maken. En die blokkeren bepaalde typen websites, dus wel/geen certificaat en zo. Het is niet zo dat een virusscanner laten we zeggen tweakers.net kan blokkeren.

fapkonijntje @boner • 11 juli 2019 10:13

Niet zo panisch doen. Het is en blijft Apple en die hebben gewoon veel controle over de hardware en software die ze leveren. Dat is voor sommige mensen precies de reden dat ze apples hebben. Maar je kunt op macOS zelf ook bij de gegevens en instellingen hoor; http://osxdaily.com/2017/05/01/check-xprotect-version-mac/

page404 @boner • 11 juli 2019 10:21

Ik vind dat echt een grote drogreden. Je doet nu net alsof macOS je straks gaat censureren. Ten eerste is censuur iets dat aan overheden toebehoort, ten tweede, wat denk je dat er gebeurt als Apple bedenkt dat cnn.com en tweakers.net niet meer door jou bezocht worden dmv zo’n update? Daar hebben ze in beginsel al geen belang bij, en de shitstorm die ze over hun heen krijgen zitten ze als commercieel bedrijf echt niet op te wachten. Dat kost ze klanten en dat is het laatste wat de willen. Dus het is allemaal theoretisch geneuzel in de marge en volstrekt niks om je druk om te maken. Al dit soort updates zijn in jouw belang en dat zal altijd zo blijven.

Verwijderd @page404 • 12 juli 2019 10:27

Twitter censureert ook. En Facebook!

WhatsappHack

Apple
Beveiliging en antivirus

@boner • 11 juli 2019 11:07

Je kan het in macos ook uitschakelen. Lijkt me geen slim plan, maar het kan.

monojack @boner • 11 juli 2019 10:34

Het is puur veiligheid en wat hellend vlak? Ben je verbijsterd dat dit kan? Als je dat verbaast zou ik geen computers meer kopen.

Een virus scanner krijgt ook gewoon updates gepusht om de nieuwste kwetsbaarheden te identificeren dit is nu net hetzelfde.

Natuurlijk wordt dit gepusht zonder interactie van de gebruiker. Ik ken veel gebruikers die de moeite niet doen om hun Mac up te daten. Dat is voor hen zoiets als grote schoonmaak, ooit komt het er we van.

NanoSector @boner • 11 juli 2019 13:26

Er zou maar een instelling voor zijn... Oh wacht.

Bij dit soort updates snap ik wel dat ze het op zo'n manier doen.

[Reactie gewijzigd door NanoSector op 23 juli 2024 00:40]

Geronimous

@NanoSector • 11 juli 2019 22:03

Dit is een gepushte update van XProject, geen systeemupdate

NanoSector @Geronimous • 11 juli 2019 22:54

“Install system data files and security updates” is die instelling.

NLkaiser 11 juli 2019 08:28

Hier nog geen update beschikbaar en ik heb zoom geinstalleerd

Spikeey @NLkaiser • 11 juli 2019 08:35

Volgens Apple op TechCrunch: Apple said the update does not require any user interaction and is deployed automatically. Dus ik denk niet dat je er een melding van krijgt.

Wat mij dan weer enigszins verrast dat dat gewoon kan, zonder interactie.

tom.cx @Spikeey • 11 juli 2019 08:55

De update die Apple heeft uitgebracht zal waarschijnlijk voor Gatekeeper zijn. Die schoont het een en ander op en dan is het logisch dat er geen interactie nodig is van de gebruiker.

NLkaiser @tom.cx • 11 juli 2019 13:02

Ah ja via gatekeeper klinkt inderdaad logisch

nelizmastr @lecrab • 11 juli 2019 09:33

Dus jij wilt dat er expliciet toestemming gevraagd wordt om een kritiek beveiligingslek te dichten? We weten allemaal hoe de gemiddelde gebruiker met dergelijke zaken omgaat. Die negeren het. Net zo idioot als je Windows niet updaten.

gjmi @lecrab • 11 juli 2019 10:00

Google en MS kunnen dat ook op hun systemen. Juist om dit soort dingen te kunnen doen: kwaadaardige of problematische software verwijderen.

mocean 11 juli 2019 08:17

Hoop dat ze de developer status van zoom ook intrekken.

DigitalExorcist @mocean • 11 juli 2019 08:51

Ik snap de -1 niet die je krijgt. Het lijkt me niet meer dan normaal om zo’n blunder te bestraffen....

kozue @DigitalExorcist • 11 juli 2019 09:07

Iedere software bevat bugs. Sommigen worden gevonden, maar er zullen er nog genoeg zijn die nooit ontdekt worden, of pas heel laat. Als je van iedere developer die wel eens een bug heeft gemaakt de developer rechten in gaat trekken houdt je niets meer over. Zolang ze maar op tijd gefixed worden is er niets aan de hand.

DigitalExorcist @kozue • 11 juli 2019 09:11

Dit is geen "bug", dit is flawed-by-design. Die ontwikkelaar bedenkt een functie die bepaalde beperkingen van het OS omzeilt om iets te doen wat kennelijk van geen kanten klopt. Dat is geen "bug", dat is doelbewust verminken.

kozue @DigitalExorcist • 11 juli 2019 09:18

De webserver zelf was het probleem niet (teamviewer doet dit ook), het probleem was dat er een lek in zat dat te misbruiken was. Zonder lek was deze "fix" er nooit geweest.

Verwijderd @kozue • 11 juli 2019 11:33

De webserver is zeker wel onderdeel van het probleem. Deze draait zonder dat de applicatie gestart is dus verhoogd de potentie van misbruik. Security is by-design in lagen. Niet het snel patchen van problemen.

supersnathan94

Apple

@kozue • 11 juli 2019 13:20

Het idee van de webserver niet. De implementatie echter wel. Bij verwijderen van de app werd de webserver niet eens afgesloten laat staan verwijdert. Heb je de app dus ooit om welke reden dan ook gedownload en gestart voor 1 seconde dan was je vatbaar.

Xerxes249 @supersnathan94 • 11 juli 2019 19:00

De webserver had ook de mogelijkheid om de app weer te installeren als op een website een zoom call werd geinitialiseerd. Dus het is nog minder goedaardig dan het al lijkt dat is gewoon smerig.

aidanl @kozue • 11 juli 2019 09:41

Naar mijn mening ligt het probleem bij Zoom meer in de reactie van de ontwikkelaar. Zoals je schrijft bevat software altijd wel bugs. Maar wanneer er dan een onderzoeker netjes op tijd aantoont dat er best wel een groot issue zit in jouw software, als je dan als ontwikkelaar het probleem gaat ontkennen, blijft vast houden dat het allemaal wel mee valt en het vertikt om het probleem tijdig op te lossen... tja dan ben ik het Apple en @mocean eens.

Als je een applicatie ontwikkeld en beschikbaar maakt, in dit geval aan 40mln gebruikers, dan moet je zelf wel goed onthouden dat je verantwoordelijkheid bent.

mocean @aidanl • 11 juli 2019 12:13

Dit is een bug ja, maar die kon ontstaan door een enorme slechte architectuur beslissing. Bewust omzeilen van de browser-sandbox, in stand houden van een launcher (die altijd aan staat he), ook na uninstallen. Dat geheel is geen 'bug' maar een vertrouwensbreuk waarbij je m.i. de status als certified developer wel mag intrekken ja.

iDEOwen @mocean • 11 juli 2019 09:22

Ik snap je reactie helemaal. Wellicht was dit ook een reden voor Zoom om de App niet notarized te maken, omdat de app dan een (partial) Code Review krijgt van Apple, en dan waarschijnlijk geen goedkeuring zou krijgen (en dus geen Notarized status). Maar ja, dit is natuurlijk gissen.

Verwijderd @mocean • 12 juli 2019 10:26

Wat een prutser! Die gasten moeten ze verbieden om ooit nog een computer aan te raken!

DigitalExorcist 11 juli 2019 08:51

Beetje knullig dat Apple een probleem van een appontwikkelaar moet gaan oplossen me dunkt....

monojack @DigitalExorcist • 11 juli 2019 09:07

Al goed dat ze het zo snel doen

DigitalExorcist @monojack • 11 juli 2019 09:11

Dat is wel waar ja, je kunt ze niet betichten van traag reageren in dit geval.

learn_more @DigitalExorcist • 11 juli 2019 09:04

Wat denk je dat Microsoft de afgelopen 20 jaar heeft gedaan?
Brakke applicaties van derden fixen...

DigitalExorcist @learn_more • 11 juli 2019 09:08

Ja dat snap ik óók niet

dat, en zinloze UI-veranderingen waar letterlijk nooit iemand om gevraagd heeft. En het fiksen van issues van derde partijen is voor elke fabrikant belachelijk. Dat zo'n beunhaas als die Zoom-ontwikkelaar z'n werk niet fatsoenlijk kan doen is hún probleem. En ergens is het wel mooi, als een OS-fabrikant dan zélf die rotzooi maar weggooit omdat een ontwikkelaar niet thuis geeft. Maar het is vooral knullig en zou niet nodig moeten zijn.

macOS is véél te open blijkbaar. Van Windows kun je dat nog verwachten, maar van een OS waarvan men altijd (uiteraard geheel ten onrechte..) roept dat het zo gesloten is zouden dit soort fratsen überhaupt niet op moeten kúnnen treden.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 00:40]

fapkonijntje @DigitalExorcist • 11 juli 2019 10:09

Hoe kom je bij het rare idee dat macos gesloten is? Het is geen iOS. MacOS is juist altijd heel open geweest, best vergelijkbaar met Windows met de optionele app store.

Dat heeft bij macos ook de nodigde security consequenties gehad waar ze wel langzaamaan aan sleutelen bij Apple. Maar je kunt met een beetje moeite gewoon overal bij op macOS. Kijk maar naar tooltje als Onyx, die maken veel inzichtelijk.

Als macos gesloten was geweest was dit ook niet mogelijk grweest. Zo'n bug heb je niet op iOS. Op je Mac kun je ook gewoon als root inloggen, wat soms hilarische effecten heeft.

DigitalExorcist @fapkonijntje • 11 juli 2019 10:11

Hee, dat was niet mijn idee, "men" roeptoetert altijd dat Apple zó gesloten is. Ik niet, maar als ik dát zeg ben ik weer een blinde fanboy. Dus ach.

Daarom zeg ik ook letterijk "waarvan men altijd zegt" en "(uiteraard geheel ten onrechte)".

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 00:40]

AiR60 11 juli 2019 08:49

Ik kreeg gister al een zoom update voor m’n kiezen, enkel de zoom applicatie, verder niet...
Ow wacht niet helemaal goed gelezen

[Reactie gewijzigd door AiR60 op 23 juli 2024 00:40]

sodium 12 juli 2019 10:22

Ben ik nou de enige...

$ defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta.plist Version
2103

en deze versie is van 26 April

Keypunchie

Apple

@sodium • 12 juli 2019 15:36

Ik vermoed dat het niet xprotect is, maar de Malware Removal Tool

$ ls -la /System/Library/CoreServices/MRT.app/Contents/
total 0
drwxr-xr-x 9 root wheel 288 Jul 10 05:56 .
drwxr-xr-x 3 root wheel 96 Jul 11 12:10 ..
drwxr-xr-x 18 root wheel 576 Jul 10 06:01 Frameworks
-rw-r--r-- 1 root wheel 1589 Jul 10 05:55 Info.plist
drwxr-xr-x 3 root wheel 96 Jul 10 06:01 MacOS
-rw-r--r-- 1 root wheel 8 Jul 10 05:55 PkgInfo
drwxr-xr-x 38 root wheel 1216 Jul 10 06:01 Resources
drwxr-xr-x 3 root wheel 96 Jul 10 05:56 _CodeSignature
-rw-r--r-- 1 root wheel 495 Jul 10 05:56 version.plist

Je kunt het ook zien onder System Reports -> Software -> Installations. De MRTConfigData versie 1.45 moet daar tussen staan, (bij mij met timestamp 11/07/2019 12:10)

[Reactie gewijzigd door Keypunchie op 23 juli 2024 00:40]

sodium 13 juli 2019 10:17

Super, dank - niet aan gedacht

Op dit item kan niet meer gereageerd worden.

Apple pusht update naar macOS om kwetsbaarheid in bel-app Zoom op te lossen

Lees meer

Reacties (45)

Sorteer op:

Weergave: