El lunes contábamos en Genbeta como Zoom, una aplicación cada vez más popular para videollamadas de trabajo, activaba un servidor web secreto en cada ordenador con macOS donde se instalara, y que este permanecía activo incluso aunque se desinstalara.
La vulnerabilidad que se habilitaba con su instalación y uso es que cualquier página web podía incluir al usuario en una videollamada con acceso a la cámara sin que este tuviera que aceptarla, por la configuración por defecto de Zoom (fácilmente modificable). Ayer Zoom lanzó un parche de urgencia para solucionar el problema, basándose en los 'recientes comentarios de los usuarios', aunque sin mencionar la labor del investigador de seguridad que destapó el problema hace más de 90 días.
Pese a esta acción de Zoom en el día de ayer, Apple ha lanzado una actualización silenciosa que eliminará el servidor web en los ordenadores en los que haya estado presente la aplicación de videollamadas. Los usuarios no se enterarán de que han recibido el parche, tuvieran o no la app instalada.
El caso de Zoom puede llevar a Apple a hacer que el sistema avise de estos comportamientos
Según ha contado la compañía de Cupertino a TechCrunch, el despliegue de la actualización solo supondrá que ahora cuando abran la aplicación, el sistema les preguntará si de verdad quieren abrir la aplicación, mientras que antes se abriría automáticamente.
Apple también menciona que la actualización no romperá la funcionalidad de Zoom más allá de eliminar el servidor web o lanzar ese aviso al lanzar la app, por lo que aquellos que la necesiten para trabajar no tendrán problema alguno.
Existe un debate sobre si lo que ha ocurrido es una vulnerabilidad de macOS en sí. Y no, es simplemente un mal uso de la plataforma de un desarrollador autorizado, que ante cambios en la versión de Safari de macOS Mojave, quisieron lograr de forma algo gris que todo funcionara como hasta ese momento.
Sin embargo, la experiencia sí puede servir a Apple para que, al igual que ya está haciendo en iOS 13 con los accesos extraños al Bluetooth, macOS Catalina o posteriores avisen de que una aplicación está haciendo, sin avisar, cosas raras como crear servidores web.
Ver 10 comentarios