Afgelopen week is er een ernstig lek in de Zoom-app (videoconferencing) geconstateerd in macOS. Door een ontwikkelfout van Zoom was het mogelijk om zonder interactie van de gebruiker de camera te activeren. Lees hier hoe dit is opgelost en hoe Root3 is omgegaan met dit lek.

Op woensdag 10 juli 2019 is er voor klanten van Proactief Apple Beheer een fix naar alle Mac computers gepusht. Deze fix heeft het lek direct verholpen. Op dat moment waren we nog in afwachting van een oplossing vanuit Zoom.

Het lek in de Zoom-app kon via een kwaadwillende website worden misbruikt vanwege een lokale webserver die door de Zoom-app wordt opgezet. De website kon de camera zonder gebruikersinteractie activeren. Gebruikers die ooit Zoom hebben geïnstalleerd maar vervolgens hadden verwijderd, bleken nog kwetsbaar voor het lek. De lokale webserver die aangemaakt was door Zoom bleef na verwijdering van de applicatie nog achter in macOS.

Er is inmiddels een nieuwe versie van de Zoom-app te downloaden. Deze versie van de applicatie lost ook de kwetsbaarheid op.

Ook Apple heeft actie ondernomen en op donderdag 11 juli een wereldwijde patch uitgebracht die het probleem oplost. De ingebouwde malware removal tool (MRT) is bijgewerkt naar versie 1.45. Er zal nu altijd duidelijke interactie van de gebruiker vereist zijn. Checken of uw Mac is bijgewerkt? Gebruik onderstaande code om te controleren of de output minimaal versie 1.45 geeft:

$ defaults read /System/Library/CoreServices/MRT.app/Contents/Info.plist CFBundleShortVersionString

Meer informatie over dit lek is te lezen op The Verge, TechCrunch en de website van Zoom.