Zoom tem falha de segurança que permite acesso irrestrito a macOS

Bug em atualização automática permitia trocar pacote e dar acesso privilegiado a atacante; conserto da Zoom ainda tem erros

Giovanni Santa Rosa
Zoom (Imagem: Divulgação/Zoom)
Zoom (Imagem: Divulgação/Zoom)

Um dos mais populares apps para videochamadas e reuniões remotas, o Zoom pode colocar seu Mac em risco. Um pesquisador de segurança descobriu que o instalador do aplicativo abre uma brecha no macOS. Essa vulnerabilidade pode permitir que um agente mal-intencionado tenha acesso a todo o sistema operacional.

O instalador precisa de permissões especiais de usuário para adicionar ou remover o Zoom ao Mac. Ele pede que o usuário digite a senha para isso.

O problema é que as atualizações automáticas do aplicativo continuam a ter privilégios de superusuário e rodam em segundo plano.

Teoricamente, isso não seria problema. A função de atualização automática confere se o pacote tem a assinatura criptográfica da empresa responsável pelo app. No entanto, a checagem tem um bug.

Qualquer arquivo com o mesmo nome do certificado de assinatura do Zoom passa no teste. Então, basta usar isso para instalar um malware e colocá-lo para rodar com privilégios elevados.

Este ataque pode ser usado para escalar privilégios no macOS. O atacante começa com um arquivo em uma conta de usuário restrita e consegue chegar ao tipo de usuário mais poderoso, chamado root ou superusuário. Com ele, é possível modificar, criar ou apagar qualquer arquivo.

Zoom ainda não corrigiu tudo

O responsável pela descoberta se chama Patrick Wardle. Ele é especialista em segurança de Macs e fundador da Objective-See Foundation, associação sem fins lucrativos que cria ferramentas de segurança de código aberto para o macOS.

Wardle seguiu todos os protocolos de divulgação responsável. Ele informou as falhas à empresa responsável pelo Zoom em dezembro do ano passado. O primeiro conserto, porém, tinha outro bug.

O pesquisador avisou novamente a companhia e esperou oito meses para publicar sua pesquisa. Um novo patch corrigiu todas as falhas iniciais, mas continua com um pequeno erro.

O pacote a ser instalado agora é movido para uma pasta do usuário root, o que deveria ser suficiente para evitar trocas por malware. No entanto, ele mantém as mesmas permissões de leitura e escrita, o que significa que ainda pode ser alterado por um usuário comum. Um atacante, portanto, pode alterar o arquivo e transformá-lo em um malware.

Ao site The Verge, Wardle diz que não só reportou os bugs à Zoom, mas também os erros do processo e como corrigi-los. “É muito frustrante esperar seis, sete, oito meses, sabendo que todas as versões de Mac do Zoom estão vulneráveis nos computadores dos usuários.”

Sobre a nova falha, o pesquisador diz que ela é fácil de corrigir. Ele espera que falar publicamente sobre o assunto agilize os processos.

Com informações: The Verge.

Leia | Desenvolvedor não identificado? Veja como instalar qualquer aplicativo no Mac

Responde

Gravar uma chamada no Zoom cria um registro da reunião na nuvem ou no computador, o que permite rever o que foi discutido no encontro
Como gravar uma reunião no Zoom pelo PC ou celular
Tutorial mostra como usar o app de videochamadas para entrar em reuniões a partir de diferentes dispositivos; entenda
Como usar o aplicativo Zoom no celular ou PC
Usar o Zoom no navegador do PC significa participar de reuniões virtuais sem precisar baixar o aplicativo no seu computador
Como usar o Zoom pelo navegador? Saiba entrar em uma reunião sem baixar o app
Criar uma reunião do Zoom é realizar uma videochamada com convidados para discutir um determinado assunto do trabalho ou de estudo
Como criar ou agendar uma reunião do Zoom pelo PC ou celular

Relacionados

Seja para se desafiar ou facilitar a vida; saiba como colocar o Zoom em português ou em um dos outros oito idiomas disponíveis
Como colocar o Zoom em português [alterar idioma]
Sistema operacional da Apple sucede o macOS 12 Monterey; saiba quais modelos de Mac poderão ser atualizados para essa nova opção
Quais modelos de Mac vão atualizar para o macOS 13 Ventura?
A prevenção contra ataques DDoS envolve uma combinação de ação técnicas, como firewalls e provedores CDN, e monitoramento do tráfego para identificar anomalias
O que é um ataque DDoS? Saiba como funciona, quais os tipos e o que fazer para evitar
Descubra como compartilhar a tela no Zoom pelo computador ou através do aplicativo para celular (Android e iPhone)
Como compartilhar a tela no Zoom

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.