Nedávno odhalená bezpečnostní trhlina v aplikaci Zoom očividně nebyla jediná. Ačkoli Apple včas zareagoval a vydal tichou aktualizaci systému, objevily se hned další dva programy se stejnou zranitelností.
Přístup macOS byl vždy, co se týče používání hardwaru softwarem, příkladný. Zejména poslední verze se nekompromisně snaží oddělit aplikace od používání periferií jako je mikrofon nebo webová kamerka. Při použití pak musí slušně požádat uživatele o přístup. Tady ale přichází jistý kámen úrazu, neboť jednou povolený přístup může být opakovaně využit.
Podobný problém nastal u aplikace Zoom, která je zaměřena na videokonference. Bezpečnostní chyby si však povšiml jeden z bezpečnostních expertů a nahlásil ji tvůrcům i Applu. Obě společnosti pak vydaly patřičnou záplatu. Zoom vydal opravenou verzi aplikace a Apple tichou bezpečnostní aktualizaci.
Zdálo se, že chyba, která využívala webový server na pozadí ke sledování uživatele skrze webovou kameru, je vyřešena a opakovat se nebude. Jenže kolega objevitele původní zranitelnosti Karan Lyons pátral dále. Našel hned další dva programy ze stejné branže, které trpí naprosto stejnou zranitelností.
Aplikací jako Zoom je mnoho, sdílí společný základ
Aplikace Ring Central a Zhumu zaměřené na videokonference sice v naší republice patrně oblíbené nejsou, ale ve světě patří mezi oblíbené a spoléhá na ně přes 350 tisíc firem. Takže jde opravdu o slušnou bezpečnostní hrozbu.
Mezi Zoom, Ring Central a Zhumu je však přímá spojitost. Jde o takzvané „white label“ aplikace, které jsou česky řečeno přebarvené a upravené pro jiného klienta. Na pozadí však sdílí architekturu a kód, takže se liší primárně v uživatelském rozhraní.
Bezpečnostní aktualizace macOS bude na tyto a další kopie aplikace Zoom pravděpodobně krátká. Apple bude nejspíš muset vyvinout univerzální řešení, které bude kontrolovat, zda instalované aplikace nespouštějí na pozadí vlastní webový server.
Důležité také bude hlídat, zdali po odinstalaci takového softwaru nezůstávají všemožné zbytky, které pak mohou útočníci zneužít. Cesta vydávání záplaty pro každou možnou odnož aplikace Zoom by totiž při nejhorším mohla znamenat, že bude Apple vydávat až desítky podobných aktualizací systému.
Snad se nedočkáme doby, kdy budeme podobně jako uživatelé Windows notebooků přelepovat webové kamerky svých MacBooků a iMaců.
Zdroj: 9to5Mac
No, pokud tam aplikace instaluje webový server, který tam zůstane běžet i potom, co aplikaci vypnu, tak je to celé velice smutné..
Vývojář: „Máme to udělat kvalitně? Bude to stát plus mínus xxx $$$ a bude to mít jistá omezení…“
Manager: „Ne, máte na to týden a všechny funkce potřebujeme, tak dělejte rychle, hlavně ať už to nějak funguje…“