Zoom-fare: Nettsteder kan filme deg uten samtykke!

Urovekkende sårbarhet i Zoom: Nettsteder kan aktivere kameraet ditt i hemmelighet

Zoom videokonferanseprogramvare viser seg å ha flere sikkerhetshull enn bare en skjult webserver på Mac. Det viser seg at også Windows-brukere er i faresonen; nettsider du besøker kan potensielt starte filming av deg uten din godkjenning. Alt som trengs er at du trykker på en lenke. Dette problemet er ikke begrenset til Mac, men gjelder også Windows-maskiner.

Mens de første rapportene fokuserte på at Zoom-problemene var spesifikke for macOS, viser det seg at Windows-brukere også er sårbare. Hvis Zoom er konfigurert til å aktivere kameraet ditt automatisk ved møtestart, kan en ondsinnet person legge inn en Zoom-kobling på en hvilken som helst nettside, og starte en videoopptak umiddelbart. Dette fungerer på både Windows og Mac.

Zoom hevder at de «ikke har noen indikasjoner på at dette noen gang har skjedd» – ennå. Selskapet anser dette som en «funksjon» og hevder at du har gitt tillatelse til dette ved å ha Zoom-klienten konfigurert til automatisk å slå på webkameraet når du kobler deg til et møte.

Jonathan Leitschuh har publisert et såkalt «proof of concept»-nettsted som illustrerer dette. Hvis du har installert Zoom-programvaren og besøker denne nettsiden, vil Zoom-programvaren automatisk starte og delta i møtet, og i tillegg aktivere kameraet ditt. På macOS vil dette skje selv om du tidligere har avinstallert Zoom, på grunn av en skjult webserver som Zoom lar være aktiv etter avinstallasjon. Men også på Windows vil Zoom starte hvis den er installert.

I begynnelsen antydet Jonathan Leitschuhs innlegg at problemet bare eksisterte på macOS. Han presiserte imidlertid i en Twitter-melding at det også gjelder Windows:

? WINDOWS OG MAC-BRUKERE?
Hvis du noen gang har merket av for denne boksen i en annen nettleser enn Safari, er du også sårbar. pic.twitter.com/FbG2efEe0R

— Jonathan Leitschuh (@JLLeitschuh) 9. juli 2019

Vi testet dette ved å installere Zoom-programvaren og besøke «proof of concept»-nettsiden hans ved hjelp av Google Chrome.

Første gang du besøker siden, vil du bli spurt om å åpne Zoom-applikasjonen – forutsatt at du ikke allerede har Zoom installert. Hvis du krysser av for «Åpne alltid disse typene lenker i den tilknyttede appen», er du i en utsatt posisjon. Dette er en funksjon som mange ville krysse av for å unngå unødvendige klikk i fremtiden.

Neste gang vi besøkte nettsiden, startet Zoom automatisk, vi ble koblet til møtet, og webkameraet vårt ble aktivert. Dette skjedde uten at vi klikket på noen forespørsler eller ga noen form for tillatelse. Med andre ord kan skadelige nettsider enkelt ta opp video av deg uten din viten, så lenge du har Zoom installert.

Du ser da Zoom-vinduet og det er tydelig at du blir filmet. En ondsinnet nettside kan likevel fange opp video av deg før du rekker å stoppe videokonferansen.

Dette er et alvorlig problem. Vi anbefaler å avinstallere Zoom hvis du ikke bruker det ofte. Hvis du trenger det installert, bør du deaktivere alternativet «Slå på videoen min når jeg deltar i møte» under «Video»-fanen i Zooms innstillinger for å forhindre dette.

På macOS er det også viktig å sjekke om den hemmelige webserveren er aktiv og fjerne den.

Dessverre ser det ut til at Zooms offisielle svar på situasjonen indikerer at selskapet anser dette som en «funksjon» og ikke et sikkerhetsproblem. Vi håper selskapet raskt forstår alvoret i situasjonen og endrer retning.