Εχθές, η υπηρεσία video conferencing Zoom διέθεσε μία αναβάθμιση για τον Mac client της, αφαιρώντας την αμφιλεγόμενη λειτουργικότητα του web server που θα μπορούσε να επιτρέψει σε κάποιον τρίτο να ξεκινήσει μία βιντεοκλήση στον υπολογιστή του χρήστη χωρίς την άδεια του.

Όμως όπως αναφέρει το TechCrunch, η Apple δεν θέλησε να αφήσει τα πράγματα στα χέρια μόνο της Zoom και έτσι διέθεσε ένα update για υπολογιστές Mac που αφαιρούσε τη λειτουργικότητα web server από την εφαρμογή Zoom. Ο τοπικός web server που η Zoom εγκαθιστούσε χωρίς να προειδοποιήσει τους χρήστες των υπολογιστών Mac μπορεί να βελτίωνε κάποιες πτυχές της υπηρεσίας από άποψη ευχρηστίας, ώστε άφηνε και ανοικτό το ενδεχόμενο εκμετάλλευσης από τρίτους, όπως τεκμηριώθηκε πρώτα από τον ερευνητή ασφαλείας Jonathan Leitschuh.

Η Apple υποστηρίζει ότι η ενημέρωση που διέθεσε προστατεύει τόσο τους παλιούς όσο και τους τωρινούς χρήστες του Zoom από τις ευπάθειες και τα κενά ασφαλείας που εντοπίστηκαν από τον Jonathan Leitschuh, ενώ εκπρόσωπος της Zoom δήλωσε στην ιστοσελίδα TechCrunch ότι η εταιρεία του είναι «ευχαριστημένη που συνεργάστηκε με την Apple» για την ενημέρωση.

Το ότι η Apple κινήθηκε για να διαθέσει άμεσα ένα patch που διόρθωνε ένα κενό ασφαλείας σε εφαρμογή τρίτου –κάτι που η εταιρεία σπάνια κάνει- τα λέει όλα από μόνο του. Ένα third party app που εγκαθιστούσε τοπικά έναν web server στον υπολογιστή σας, χωρίς μάλιστα να σας το γνωστοποιήσει, και που αυτομάτως και άμεσα φρόντιζε να επανεγκαταστήσει την εφαρμογή Zoom ακόμα και αν είχατε φροντίσει να την απεγκαταστήσετε, είναι ότι χειρότερο για την ασφάλεια του υπολογιστή σας. Και το γεγονός ότι αρχικά η Zoom προσπάθησε να υποβαθμίσει τις ευπάθειες, χαρακτηρίζοντας τες «χαμηλής επικινδυνότητας» και υπερασπίστηκε την χρήση του κρυφού web server, δείχνει την σπουδαιότητα της δουλειάς των ανεξάρτητων ερευνητών ασφαλείας, που πολλές φορές είναι και οι πρώτοι που αναλαμβάνουν να διαψεύσουν τέτοιους ισχυρισμούς.

Σε μία ανάρτηση του στο επίσημο blog εχθές, ο CEO της Zoom, Eric S. Yuan έγραψε ότι η εταιρεία του πρόκειται να ξεκινήσει ένα δημόσιο πρόγραμμα γνωστοποίησης ευπαθειών μέσα στις επόμενες εβδομάδες. Επίσης έκανε γνωστό ότι η εταιρεία του έλαβε μέτρα για να βελτιώσει τον τρόπο που εργάζεται πάνω σε ζητήματα που σχετίζονται με την ασφάλεια της υπηρεσίας της. 

Mashable

  • Thanks 1