Ujawniona niedawno luka w zabezpieczeniach aplikacji Zoom najwyraźniej nie była jedyną. Chociaż firma Apple zareagowała na czas i wydała cichą aktualizację systemu, od razu pojawiły się dwa kolejne programy z tą samą luką.
Podejście macOS do używania sprzętu z oprogramowaniem zawsze było wzorowe. Zwłaszcza najnowsza wersja bezkompromisowo stara się oddzielić aplikacje od wykorzystania urządzeń peryferyjnych takich jak mikrofon czy kamera internetowa. Podczas korzystania z niego musi grzecznie poprosić użytkownika o dostęp. Ale tu pojawia się pewna przeszkoda, ponieważ raz przyznany dostęp może być używany wielokrotnie.
Podobny problem wystąpił w aplikacji Zoom, która nastawiona jest na wideokonferencje. Jednak jeden z ekspertów ds. bezpieczeństwa zauważył lukę w zabezpieczeniach i zgłosił ją twórcom oraz Apple. Obie firmy wypuściły następnie odpowiednią łatkę. Zoom wypuścił poprawioną wersję aplikacji, a Apple wydało cichą aktualizację zabezpieczeń.
Wydaje się, że błąd polegający na wykorzystywaniu serwera WWW w tle do śledzenia użytkownika za pomocą kamery internetowej został rozwiązany i nie będzie się więcej pojawiał. Jednak kolega odkrywcy pierwotnej luki, Karan Lyons, szukał dalej. Natychmiast znalazł dwa inne programy z tej samej branży, które zawierają dokładnie tę samą lukę.
Istnieje wiele aplikacji takich jak Zoom, mają one wspólną płaszczyznę
Aplikacje do wideokonferencji Ring Central i Zhumu nie są zapewne popularne w naszym kraju, ale należą do najpopularniejszych na świecie i korzysta z nich ponad 350 XNUMX firm. Jest to więc naprawdę przyzwoite zagrożenie bezpieczeństwa.
Istnieje jednak bezpośrednie połączenie pomiędzy Zoomem, Ring Central i Zhumu. Są to tzw. aplikacje typu „white label”, które w języku czeskim są przekolorowywane i modyfikowane dla innego klienta. Dzielą jednak architekturę i kod za kulisami, dlatego różnią się przede wszystkim interfejsem użytkownika.
Aktualizacja zabezpieczeń systemu macOS prawdopodobnie będzie krótka dla tych i innych kopii Zoom. Apple prawdopodobnie będzie musiało opracować uniwersalne rozwiązanie, które będzie sprawdzało, czy zainstalowane aplikacje uruchamiają w tle własny serwer WWW.
Ważne będzie również monitorowanie, czy po odinstalowaniu takiego oprogramowania nie pozostają wszelkiego rodzaju pozostałości, które mogą następnie zostać wykorzystane przez osoby atakujące. Ścieżka wydawania łatek dla każdej możliwej odnogi aplikacji Zoom może w najgorszym przypadku oznaczać, że Apple wyda nawet kilkadziesiąt podobnych aktualizacji systemu.
Miejmy nadzieję, że nie doczekamy czasów, kiedy niczym użytkownicy laptopów z systemem Windows będziemy trzymać się kamerek naszych MacBooków i iMaców.
Cóż, jeśli aplikacja instaluje tam serwer WWW, który działa nawet po zamknięciu aplikacji, jest to bardzo smutne.
Deweloper: „Czy powinniśmy to zrobić dobrze? Będzie kosztować plus minus xxx $$$ i będzie mieć pewne ograniczenia…”
Menedżer: „Nie, masz na to tydzień i potrzebujemy wszystkich funkcji, więc zrób to szybko, zwłaszcza jeśli jakoś to działa…”
Petr Szkuta 
Amaya Toman 
Cóż, jeśli aplikacja instaluje tam serwer WWW, który działa nawet po zamknięciu aplikacji, jest to bardzo smutne.
Deweloper: „Czy powinniśmy to zrobić dobrze? Będzie kosztować plus minus xxx $$$ i będzie mieć pewne ograniczenia…”
Menedżer: „Nie, masz na to tydzień i potrzebujemy wszystkich funkcji, więc zrób to szybko, zwłaszcza jeśli jakoś to działa…”