Aplikace Zoom pro videokonference se potýká s vážnějšími problémy, než je jen skrytý webový server v systému macOS. Uživatelé Windows se také mohou stát obětí neoprávněného nahrávání prostřednictvím webových stránek, a to pouhým kliknutím na odkaz. Stejné riziko se týká i majitelů počítačů Mac.
Zatímco původní zprávy poukazovaly na problémy specifické pro macOS, ukazuje se, že zranitelnost se týká i Windows. Pokud je Zoom nastavený tak, že se kamera automaticky zapíná při zahájení schůzky, útočník může vložit odkaz na Zoom na webovou stránku a bez vašeho vědomí spustit nahrávání. To platí jak pro Windows, tak pro Mac.
Společnost Zoom tvrdí, že „nemá žádné indicie, že by se taková situace kdy stala“, ale považuje to za funkci. Argumentuje tím, že uživatel dal souhlas tím, že má v klientu Zoom nastaveno automatické zapínání kamery při připojení ke schůzce.
Jonathan Leitschuh předvedl tento problém na webové stránce s proof of concept. Pokud máte nainstalovaný software Zoom a navštívíte danou webovou stránku, Zoom se spustí, automaticky se připojí ke schůzce a začne nahrávat přes vaši webkameru. V případě macOS byste toto chování zaznamenali, i když jste Zoom dříve odinstalovali, protože tajný webový server Zoom zůstává spuštěný i po odinstalaci. Ovšem i ve Windows se Zoom spustí, pokud je aktuálně nainstalovaný.
Původní příspěvek Jonathana Leitschuh naznačoval, že problém se týká pouze macOS, ale v následném tweetu objasnil:
? WINDOWS AND MAC USERS?
If you’ve ever checked this box in any browser besides Safari, you’re also vulnerable. pic.twitter.com/FbG2efEe0R— Jonathan Leitschuh (@JLLeitschuh) July 9, 2019
Pro test jsme nainstalovali Zoom a navštívili jeho testovací stránku pomocí prohlížeče Google Chrome.
Při prvním otevření webu vás systém vyzve k otevření aplikace Zoom, za předpokladu, že ji nemáte nainstalovanou. Pokud zaškrtnete „Vždy otevírat tyto typy odkazů v přidružené aplikaci“, otevíráte se rizikům. Tuto možnost však zvolí mnoho uživatelů, aby ušetřili čas do budoucna.
Při další návštěvě stránky se Zoom automaticky spustí, připojí vás ke schůzce a aktivuje webkameru. Bez jakéhokoliv vašeho dalšího zásahu vás tak potenciálně nebezpečné stránky mohou nahrávat, pokud máte Zoom nainstalovaný.
Okno Zoom se otevře, a je zřejmé, že jste nahráváni. Škodlivá stránka však může zaznamenat video ještě předtím, než stihnete nahrávání zastavit.
Jedná se o velký problém. Pokud Zoom nepoužíváte pravidelně, doporučujeme jej odinstalovat. Pokud jej potřebujete nainstalovaný, můžete alespoň v nastavení Zoom v sekci „Video“ aktivovat možnost „Vypnout video při připojování ke schůzce“.
V systému macOS nezapomeňte odstranit také webový server.
Bohužel, z oficiálního vyjádření společnosti Zoom se zdá, že to považuje za vlastnost, nikoli za problém. Doufáme, že si brzy uvědomí vážnost situace a změní svůj přístup.