Hackers pueden controlar webcams gracias a vulnerabilidad en software de videoconferencias Zoom

En días recientes el especialista en seguridad en aplicaciones web Jonathan Leitschuh reveló la existencia de una vulnerabilidad día cero en Zoom, el popular software de videoconferencias. Los actores de amenazas pueden abusar de la función “click-to-join”, que permite a los usuarios de equipos Mac unirse a una sesión de Zoom a través de un enlace de navegador instalando un servidor local que ejecuta solicitudes de exploradores no convencionales. 

De ser explotada, esta vulnerabilidad permitiría a los hackers secuestrar sesiones de Zoom, forzando a los usuarios de Mac a unirse a una llamada sin solicitar su permiso, además de activar las cámaras web de los participantes de la llamada.

El especialista en seguridad en aplicaciones web afirma que el servidor local persiste en el sistema comprometido incluso si el usuario elimina la aplicación de Zoom de su equipo; Leitschuh incluso afirma que el software de videoconferencia puede ser instalado de nuevo de forma automática. “La compañía no ha hacho gran cosa por corregir esta falla”, afirma el experto.

Leitschuh publicó un demo del ataque después de revelar la falla; usando un enlace, el experto redirigía a los usuarios de Mac que alguna vez hubieran usado Zoom directo a una sesión de videoconferencia, incluso activó las webcams de los usuarios que hicieron clic en el enlace. “Es posible incrustar un enlace de este tipo en cualquier sitio web, así como en anuncios o como parte de campañas de phishing”.

Redirigir a los usuarios de Mac a una sesión de Zoom arbitrariamente no es la única forma en la que los hackers pueden abusar de este servicio. Acorde a los expertos en seguridad en aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) la presencia de este servidor web en los equipos Mac comprometidos podría generar condiciones de denegación de servicio (DoS) en el dispositivo haciendo ping múltiples veces en el servidor web.

El especialista contactó a la compañía el pasado mes de marzo; por su parte, Zoom lanzó un parche de seguridad que inhabilitaba la capacidad para entrar a una videoconferencia de forma automática. No obstante, esta no es una solución completa para la vulnerabilidad, por lo que el experto la reveló al púbico después de cumplirse el plazo que la compañía tenía para corregir la falla.

Por ahora los usuarios de Mac deberán implementar algunas configuraciones manuales como medida de protección temporal hasta que Zoom corrija definitivamente la vulnerabilidad.