Software usado em reuniões e conferências foi atualizado para remover brecha que podia ser explorada mesmo após a desinstalação.
Por Altieres Rohr, G1
Postado em 12 de julho de 2019 às 23h10m
Postado em 12 de julho de 2019 às 23h10m
A Zoom, que desenvolve um aplicativo para conferências e reuniões virtuais, terá a ajuda da Apple para remover um componente "fantasma" que fica instalado em computadores com sistema macOS mesmo após os usuários desinstalarem o programa da Zoom. Esse componente, segundo um especialista em segurança Jonathan Leitschuh, permitia que a Zoom fosse automaticamente reinstalado por qualquer site visitado, o que abria o computador para ataques mesmo após o programa ser desinstalado.
O Zoom é um software de terceiros, sem relação com a Apple, a fabricante de computadores Mac e do sistema macOS. No entanto, o aplicativo configura um servidor web no computador do usuário durante a instalação. Esse servidor não é desinstalado junto com o software, permanecendo no sistema como um "programa fantasma" que não pode ser desinstalado pelos meios normais.
Esse componente tinha o objetivo de contornar restrições impostas pela Apple ao Safari que impedem que o navegador interaja com programas de terceiros. No caso da Zoom, isso inviabilizou o recurso de entrar em uma reunião com um só clique em uma página web.
A Zoom decidiu desinstalar esse componente em uma atualização na terça-feira (9). Porém, quem não tem mais o Zoom instalado não poderia receber a atualização que faz esse processo. Foi necessária a cooperação da Apple para distribuir a atualização para todos os usuários de macOS a partir desta quarta-feira (10).
A Zoom inicialmente defendeu o recurso, alegando que a impossibilidade de entrar em reuniões em um clique criava uma "experiência ruim" e que isso era o "diferencial" do serviço. Após a polêmica, o CEO da empresa, Eric Yuan, reconheceu que a Zoom "avaliou mal a situação e não reagiu rápido o bastante" durante o prazo de três meses que a empresa teve desde que foi comunicada dos problemas.
Risco ignorado por três meses
O especialista de segurança Jonathan Leitschuh comunicou as vulnerabilidades para a Zoom em março, dando o prazo comum de 90 dias para que tudo fosse corrigido. Segundo ele, qualquer site visitado (o que inclui um site malicioso) podia obrigar o visitante a entrar em uma sala de reunião oculta e ter sua webcam ligada automaticamente. Na prática, qualquer usuário que tivesse o Zoom estava vulnerável a ter sua webcam espionada por qualquer site na internet.
A Zoom contornou o problema desligando a possibilidade de permitir que a webcam fosse ligada automaticamente.
Mas Leitschuh ainda descobriu que a função de entrar automaticamente em uma reunião era viabilizada, no macOS por um "servidor web local" que podia interagir com os sites visitados. Em outras palavras, a Zoom abriu um canal de comunicação entre as páginas e o computador dos visitantes. Essa prática, considerada arriscada e uma vulnerabilidade em si pelo especialista, não foi modificada pela Zoom.
Quando Leitschuh veio a público com sua descoberta, no dia 8 de julho, detalhando também as respostas da Zoom, a empresa passou a ser criticada pelo pouco que fez nos 90 dias passados desde que foi avisada dos problemas.
Um dia depois, a empresa mudou de postura e anunciou uma atualização que removeria o servidor local instalado. Isso criou um problema: como distribuir a atualização para aqueles que já desinstalaram o Zoom? O componente só poderia se comunicar com sites visitados, não com os servidores da Zoom e, por essa razão, não havia meio de removê-lo do computador de todos os usuários.
A empresa então pediu ajuda da Apple. Nesta quarta-feira (10), a companhia passou a disponibilizar uma atualização que desinstala o componente local da Zoom.
A Zoom ainda pretende lançar mais uma atualização durante esse fim de semana (13 e 14 de julho) que vai modificar a configuração do vídeo para que ele venha desativado por padrão. Será a terceira atualização relacionada ao software — duas da própria Zoom e uma distribuída pela Apple — em uma semana.
Servidor web local
"Servidor web" é a denominação do software que coloca um site no ar. De maneira geral, todos os sites que existem na internet são disponibilizados por servidores web ou programas equivalentes. Computadores usados em casa e no trabalho normalmente não possuem esse tipo de software instalado.
Softwares do tipo "servidor" são em geral mais perigosos do que programas do tipo "cliente" (como é o caso do navegador de internet). Um software "cliente" apenas realiza solicitações, enquanto o servidor precisa estar sempre preparado para receber solicitações. Por esse motivo, softwares do tipo servidor precisam de uma programação de qualidade elevada.
No caso da Zoom, o "site" que ficava no computador do usuário não era um site em si, mas uma espécie de "ponte". Ele era utilizado para criar um canal de comunicação entre uma página visitada e o programa de reuniões da Zoom instalado no computador. Isso funcionava porque, embora o navegador não pudesse mais se comunicar diretamente com o Zoom por conta de uma modificação da Apple no Safari, o Safari ainda podia se comunicar com esse servidor web, que funcionava exatamente como qualquer site na web com os quais o Safari foi programado para se comunicar.
Um dos vários comandos que poderia ser enviado a esse servidor local permitia que o software da Zoom fosse reinstalado automaticamente. O especialista Leitschuh propôs que um ataque poderia ser montado para obrigar esse servidor a baixar uma versão adulterada do software da Zoom, contaminando o macOS com vírus, por exemplo.
A Zoom não reconheceu qualquer vulnerabilidade nesse código. A empresa justificou que a remoção do componente ocorreu tendo em vista os comentários recebidos de clientes e de especialistas em segurança.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com