Publié dans Logiciel

0

Faille dans l’application de vidéoconférence Zoom pour Mac, la webcam piratable

Faille dans l'application de vidéoconférence Zoom pour Mac, la webcam piratable

Le chercheur en sécurité Jonathan Leitschuh a signalé une importante faille dans le logiciel de vidéoconférence Zoom pour Mac. Exploitée, elle peut permettre la prise de contrôle de la webcam.

Quand Zoom est installé sur la machine, un serveur web est automatiquement configuré. Malheureusement, il accepte des « requêtes qu’un navigateur classique n’accepterait pas », selon le chercheur.

La situation s’aggrave quand on sait que désinstaller l’application ne résout pas le problème. Le serveur web reste en place et – en cas de sollicitation comme une requête de connexion pour un appel – réinstalle promptement et silencieusement le client.

Il suffit donc d’envoyer à une cible un lien qui, s’il est cliqué, lance un appel automatiquement repris par le serveur web. Que vous ayez l’application ou qu’elle ait été désinstallée aboutit au même résultat, la vidéoconférence se lance sans confirmation nécessaire.

Les détails de la faille ont été communiqués à Zoom en mars. La brèche a en partie été colmatée, mais une régression dans une nouvelle version l’a rendue à nouveau opérante. À peine corrigée, le chercheur a déjà trouvé un contournement. En clair, rien n’est réglé.

En attendant que l’éditeur se charge sérieusement du problème, Leitschuh conseille de paramétrer Zoom pour qu’il n’active jamais la vidéo dès l’établissement d’une communication. Il fournit en outre une liste de commandes à réaliser dans le Terminal de macOS pour se débarrasser du serveur web.

Le chercheur fustige également les capacités de mise à jour automatique de Zoom, qu’il juge loin d’être à la hauteur. Il faudra donc penser à vérifier soi-même l’arrivée de nouvelles versions.

0

Tiens, en parlant de ça :

La Section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act – FISA)

Aux USA, la surveillance des communications d’étrangers sans mandat (FISA) fait débat

Aller FISSA au Sénat

15:40 DroitSécu 2
logo apple en devanture de boutique

Apple autorise puis supprime un émulateur Game Boy sur iOS

Quel est ce phoque ?

14:09 Soft 15
Logo d'Android 14

Android 15 bêta : Wallet par défaut, sécurité des réseaux mobiles et Wi-Fi, bugs sur le NFC

Ce n’est PAS une révolution

11:15 Soft 6
Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

0

Fermer

Commentaires (0)