Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apple pusht update naar macOS om kwetsbaarheid in bel-app Zoom op te lossen

Apple heeft een update gepusht naar macOS die de lokale server van conferentieapplicatie Zoom verwijdert als deze aangetroffen wordt. Apple doet dat vanwege de kwetsbaarheid die eerder aan het licht kwam. Gebruikers hoeven de update niet zelf door te voeren.

Apple bevestigt tegenover TechCrunch dat de update is verstuurd en dat daarmee de verborgen webserver die Zoom op macOS-systemen zet verwijderd wordt. Het functioneren van de app wordt daarmee niet beïnvloed, maar door het verwijderen van de lokale server zijn gebruikers niet meer kwetsbaar volgens Apple.

Begin deze week werd bekendgemaakt dat er een kwetsbaarheid zit in Zoom waardoor anderen mee kunnen kijken op webcams. Als gebruikers Zoom installeren op een Mac, wordt er een lokale server geactiveerd. Daarmee is het mogelijk om nieuwe Zoom-gebruikers aan een videogesprek toe te voegen. De api die daardoor gebruikt wordt is niet gedocumenteerd en is te manipuleren, waardoor het mogelijk is om toegang te krijgen tot iedere Zoom-meeting waarvan het conferentienummer is te achterhalen.

De webserver blijft op het systeem staan als gebruikers de Zoom-software verwijderen. Zoom bracht zelf wel een update uit die de lokale server ook verwijderde, maar gebruikers moesten daarvoor zelf het programma updaten. Door de update naar alle systemen te pushen lost Apple de kwetsbaarheid op voor alle gebruikers, ook als zij niet op de hoogte zijn en de software niet updaten, of als zij de software eerder al hadden verwijderd.

Door Julian Huijbregts

Nieuwsredacteur

11-07-2019 • 08:06

45 Linkedin Google+

Reacties (45)

Wijzig sortering
Is dit een app update of een systeem update?
Geen van beiden. Het is een update in XProtect, de built-in anti-virus op de Mac - je krijgt daar nooit update-meldingen van. Er wordt in dit geval een software-certificaat signature geblacklist zodat die server niet meer automatisch opstart. De Zoom server wordt dus niet verwijderd. Apple heeft nog een ander wapen in huis: het intrekken van de developer certificates van Zoom waardoor de app niet meer werkt (tenzij je de settings handmatig aanpast). Dat intrekken van die certificaten zou voor Zoom behoorlijk problematisch zijn.
Bron: MacRumors, https://forums.macrumors....-zoom-web-server.2189437/

[Reactie gewijzigd door Rembert op 11 juli 2019 09:16]

Een systeemupdate. Als je namelijk de Zoom applicatie op je systeem had, maar deze had verwijderd dan was de applicatie welliswaar niet meer beschikbaar maar de webserver bleef wel op je systeem staan. Deze gebruikers zouden dus blijven zitten met een lekke webserver op hun systeem, want Zoom heeft welliswaar een update vrijgegeven, die de webserver verwijderde, maar enkel mensen met Zoom op hun systeem kregen deze update. Met de systeem update van Apple wordt de webserver bij alle users verwijderd.
In de andere reacties staat al uitgelegd dat het waarschijnlijk meer een update van de ingebouwde malware/virusscanner is. Dat je virusscanner bepaalde websites blockt vind je waarschijnlijk wel weer logisch :) dit is eigenlijk hetzelfde.
Niet zo panisch doen. Het is en blijft Apple en die hebben gewoon veel controle over de hardware en software die ze leveren. Dat is voor sommige mensen precies de reden dat ze apples hebben. Maar je kunt op macOS zelf ook bij de gegevens en instellingen hoor; http://osxdaily.com/2017/05/01/check-xprotect-version-mac/
Ik vind dat echt een grote drogreden. Je doet nu net alsof macOS je straks gaat censureren. Ten eerste is censuur iets dat aan overheden toebehoort, ten tweede, wat denk je dat er gebeurt als Apple bedenkt dat cnn.com en tweakers.net niet meer door jou bezocht worden dmv zo’n update? Daar hebben ze in beginsel al geen belang bij, en de shitstorm die ze over hun heen krijgen zitten ze als commercieel bedrijf echt niet op te wachten. Dat kost ze klanten en dat is het laatste wat de willen. Dus het is allemaal theoretisch geneuzel in de marge en volstrekt niks om je druk om te maken. Al dit soort updates zijn in jouw belang en dat zal altijd zo blijven.
Je kan het in macos ook uitschakelen. Lijkt me geen slim plan, maar het kan.
Het is puur veiligheid en wat hellend vlak? Ben je verbijsterd dat dit kan? Als je dat verbaast zou ik geen computers meer kopen.

Een virus scanner krijgt ook gewoon updates gepusht om de nieuwste kwetsbaarheden te identificeren dit is nu net hetzelfde.

Natuurlijk wordt dit gepusht zonder interactie van de gebruiker. Ik ken veel gebruikers die de moeite niet doen om hun Mac up te daten. Dat is voor hen zoiets als grote schoonmaak, ooit komt het er we van.
Er zou maar een instelling voor zijn... Oh wacht.

Bij dit soort updates snap ik wel dat ze het op zo'n manier doen.

[Reactie gewijzigd door NanoSector op 11 juli 2019 13:27]

“Install system data files and security updates” is die instelling.
Hier nog geen update beschikbaar en ik heb zoom geinstalleerd
Volgens Apple op TechCrunch: Apple said the update does not require any user interaction and is deployed automatically. Dus ik denk niet dat je er een melding van krijgt.

Wat mij dan weer enigszins verrast dat dat gewoon kan, zonder interactie.
De update die Apple heeft uitgebracht zal waarschijnlijk voor Gatekeeper zijn. Die schoont het een en ander op en dan is het logisch dat er geen interactie nodig is van de gebruiker.
Dus jij wilt dat er expliciet toestemming gevraagd wordt om een kritiek beveiligingslek te dichten? We weten allemaal hoe de gemiddelde gebruiker met dergelijke zaken omgaat. Die negeren het. Net zo idioot als je Windows niet updaten.
Google en MS kunnen dat ook op hun systemen. Juist om dit soort dingen te kunnen doen: kwaadaardige of problematische software verwijderen.
Hoop dat ze de developer status van zoom ook intrekken.
Iedere software bevat bugs. Sommigen worden gevonden, maar er zullen er nog genoeg zijn die nooit ontdekt worden, of pas heel laat. Als je van iedere developer die wel eens een bug heeft gemaakt de developer rechten in gaat trekken houdt je niets meer over. Zolang ze maar op tijd gefixed worden is er niets aan de hand.
Dit is geen "bug", dit is flawed-by-design. Die ontwikkelaar bedenkt een functie die bepaalde beperkingen van het OS omzeilt om iets te doen wat kennelijk van geen kanten klopt. Dat is geen "bug", dat is doelbewust verminken.
De webserver zelf was het probleem niet (teamviewer doet dit ook), het probleem was dat er een lek in zat dat te misbruiken was. Zonder lek was deze "fix" er nooit geweest.
De webserver is zeker wel onderdeel van het probleem. Deze draait zonder dat de applicatie gestart is dus verhoogd de potentie van misbruik. Security is by-design in lagen. Niet het snel patchen van problemen.
Naar mijn mening ligt het probleem bij Zoom meer in de reactie van de ontwikkelaar. Zoals je schrijft bevat software altijd wel bugs. Maar wanneer er dan een onderzoeker netjes op tijd aantoont dat er best wel een groot issue zit in jouw software, als je dan als ontwikkelaar het probleem gaat ontkennen, blijft vast houden dat het allemaal wel mee valt en het vertikt om het probleem tijdig op te lossen... tja dan ben ik het Apple en @mocean eens.

Als je een applicatie ontwikkeld en beschikbaar maakt, in dit geval aan 40mln gebruikers, dan moet je zelf wel goed onthouden dat je verantwoordelijkheid bent.
Dit is een bug ja, maar die kon ontstaan door een enorme slechte architectuur beslissing. Bewust omzeilen van de browser-sandbox, in stand houden van een launcher (die altijd aan staat he), ook na uninstallen. Dat geheel is geen 'bug' maar een vertrouwensbreuk waarbij je m.i. de status als certified developer wel mag intrekken ja.
Ik snap je reactie helemaal. Wellicht was dit ook een reden voor Zoom om de App niet notarized te maken, omdat de app dan een (partial) Code Review krijgt van Apple, en dan waarschijnlijk geen goedkeuring zou krijgen (en dus geen Notarized status). Maar ja, dit is natuurlijk gissen.
Beetje knullig dat Apple een probleem van een appontwikkelaar moet gaan oplossen me dunkt....
Al goed dat ze het zo snel doen
Dat is wel waar ja, je kunt ze niet betichten van traag reageren in dit geval.
Wat denk je dat Microsoft de afgelopen 20 jaar heeft gedaan?
Brakke applicaties van derden fixen...
Hoe kom je bij het rare idee dat macos gesloten is? Het is geen iOS. MacOS is juist altijd heel open geweest, best vergelijkbaar met Windows met de optionele app store.

Dat heeft bij macos ook de nodigde security consequenties gehad waar ze wel langzaamaan aan sleutelen bij Apple. Maar je kunt met een beetje moeite gewoon overal bij op macOS. Kijk maar naar tooltje als Onyx, die maken veel inzichtelijk.

Als macos gesloten was geweest was dit ook niet mogelijk grweest. Zo'n bug heb je niet op iOS. Op je Mac kun je ook gewoon als root inloggen, wat soms hilarische effecten heeft.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True