Videokonferensprogramvaran Zoom har visat sig ha fler säkerhetsproblem än enbart den dolda webbservern på Mac-datorer. Även på Windows-system kan webbplatser du besöker potentiellt starta din kamera utan ditt samtycke. Allt som krävs är ett klick på en specifik länk, vilket är ett problem som även påverkar Mac-användare.
Tidigare rapporter antydde att Zooms säkerhetslucka var unik för macOS, men Windows-användare är lika utsatta. Om Zoom är inställt på att automatiskt starta kameran vid möten kan en webbplats bädda in en Zoom-länk och omedelbart börja spela in dig. Detta kan ske både på Windows och Mac.
Zoom hävdar bestämt att de ”inte har några indikationer på att detta någonsin har hänt”, åtminstone inte än. Företaget menar att det handlar om en avsiktlig funktion och anser att användaren har gett tillåtelse om Zoom-klienten är konfigurerad för att automatiskt slå på webbkameran vid mötesstart.
Jonathan Leitschuh har demonstrerat detta med en ”proof of concept”-webbplats. Om du har Zoom installerat och besöker denna webbplats startar Zoom automatiskt och ansluter dig till mötet samtidigt som den börjar spela in med din webbkamera. På macOS kan detta inträffa även om du tidigare avinstallerat Zoom på grund av en dold webbserver som Zoom lämnar aktiv. Men även på Windows startar Zoom om du har programmet installerat.
Inledningsvis verkade Jonathan Leitschuhs artikel på Medium indikera att problemet endast gällde macOS. Men han har sedan dess klargjort via Twitter att så inte är fallet:
? WINDOWS & MAC-ANVÄNDARE?
Om du någonsin har markerat den här rutan i någon annan webbläsare än Safari är du också sårbar. pic.twitter.com/FbG2efEe0R
— Jonathan Leitschuh (@JLLeitschuh) 9 juli 2019
Vi har testat detta genom att installera Zoom och sedan besöka Leitschuhs ”proof of concept”-sida med Google Chrome.
Första gången du besöker webbplatsen kommer du att bli tillfrågad om du vill öppna Zoom-appen (förutsatt att Zoom inte redan är igång). Om du kryssar i ”Öppna alltid den här typen av länk i den associerade appen” är du sårbar. Denna ruta är en som många användare kryssar i för att slippa extra klick i framtiden.
Vid ett andra besök på webbplatsen öppnades Zoom automatiskt, vi anslöts till ett möte och webbkameran startades utan någon interaktion från vår sida. Skadliga webbplatser kan alltså enkelt spela in dig så länge du har Zoom installerat, utan att du behöver godkänna det.
Zoom-fönstret är synligt, och det är tydligt att du blir inspelad. En skadlig webbplats kan dock spela in video innan du hinner stoppa konferensen.
Detta är ett betydande problem. Vi rekommenderar att du avinstallerar Zoom om du inte använder det regelbundet. Om du behöver ha det installerat kan du inaktivera alternativet ”Stäng av min video när jag ansluter till mötet” under fliken ”Video” i Zooms inställningar för att förhindra detta.
På macOS bör du även leta efter webbservern och avinstallera den separat.
Tyvärr verkar Zooms officiella svar på situationen tyda på att de ser detta som en funktion snarare än ett problem. Förhoppningsvis kommer de snart att inse allvaret i situationen och ändra sitt tillvägagångssätt.