Nedávno odhalená bezpečnostná trhlina v aplikácii Zoom očividne nebola jediná. Hoci Apple včas zareagoval a vydal tichú aktualizáciu systému, objavili sa hneď ďalšie dva programy s rovnakou zraniteľnosťou.
Prístup macOS bol vždy, čo sa týka používania hardvéru softvérom, príkladný. Najmä posledná verzia sa nekompromisne snaží oddeliť aplikácie od používania periférií ako je mikrofón alebo webová kamerka. Pri použití potom musí slušne požiadať užívateľa o prístup. Tu ale prichádza istý kameň úrazu, pretože raz povolený prístup môže byť opakovane využitý.
Podobný problém nastal pri aplikácii Zoom, ktorá je zameraná na videokonferencie. Bezpečnostné chyby si však všimol jeden z bezpečnostných expertov a nahlásil ju tvorcom aj Applu. Obe spoločnosti potom vydali patričnú záplatu. Zoom vydal opravenú verziu aplikácie a Apple tichú bezpečnostnú aktualizáciu.
Zdalo sa, že chyba, ktorá využívala webový server na pozadí na sledovanie používateľa cez webovú kameru, je vyriešená a opakovať sa nebude. Lenže kolega objaviteľa pôvodnej zraniteľnosti Karan Lyons pátral ďalej. Našiel hneď ďalšie dva programy z rovnakej brandže, ktoré trpia úplne rovnakou zraniteľnosťou.
Aplikácií ako Zoom je mnoho, zdieľa spoločný základ
Aplikácie Ring Central a Zhumu zamerané na videokonferencie síce v našej republike zrejme obľúbené nie sú, ale vo svete patrí medzi obľúbené a spolieha sa na ne cez 350 tisíc firiem. Takže ide naozaj o slušnú bezpečnostnú hrozbu.
Medzi Zoom, Ring Central a Zhumu je však priama spojitosť. Ide o takzvané „white label“ aplikácie, ktoré sú slovensky povedané prefarbené a upravené pre iného klienta. Na pozadí však zdieľa architektúru a kód, takže sa líšia primárne v používateľskom rozhraní.
Bezpečnostná aktualizácia macOS bude na tieto a ďalšie kópie aplikácie Zoom pravdepodobne krátka. Apple bude najskôr musieť vyvinúť univerzálne riešenie, ktoré bude kontrolovať, či inštalované aplikácie nespúšťajú na pozadí vlastný webový server.
Dôležité tiež bude strážiť, či po odinštalovaní takého softvéru nezostávajú všemožné zvyšky, ktoré potom môžu útočníci zneužiť. Cesta vydávania záplaty pre každú možnú odnož aplikácie Zoom by totiž pri najhoršom mohla znamenať, že bude Apple vydávať až desiatky podobných aktualizácií systému.
Snáď sa nedočkáme doby, kedy budeme podobne ako používatelia Windows notebookov prelepovať webové kamerky svojich MacBookov a iMacov.
Zdroj: 9to5Mac
No, ak tam aplikácia inštaluje webový server, ktorý tam zostane bežať aj potom, čo aplikáciu vypnem, tak je to celé veľmi smutné.
Vývojár: „Máme to urobiť kvalitne? Bude to stáť plus mínus xxx $$$ a bude to mať isté obmedzenia…“
Manager: „Nie, máte na to týždeň a všetky funkcie potrebujeme, tak robte rýchlo, hlavne nech už to nejako funguje…“