Videomøtetjenesten Zoom fra amerikanske Zoom Video Communications har fått mange nye brukere i det siste, noe som også har ført til at mange har sett tjenesten nærmere i sømmene. Det har ikke vært så vakkert, noe digi.no omtalte i går.
Siden da har enda en negativ nyhet kommet fram, nemlig to nulldagssårbarheter i Zoom-klienten for MacOS. Disse har blitt funnet av Patrick Wardle, en sikkerhetsforsker i selskapet Jamf. Wardle har ifølge Techcrunch en fortid som hacker hos den amerikanske signaletterretningstjenesten NSA.
Med nulldagssårbarheter menes sårbarheter som har blitt offentliggjort før en sikkerhetsfiks er utgitt.
I et blogginnlegg tar Wardle først for seg sårbarhetshistorikken til MacOS-versjonen av Zoom, før han kommer til de sårbarhetene han helt eller delvis har oppdaget selv.
Given Zoom’s privacy and security track record this should surprise absolutely zero people.
Patrick Wardle
Nå skal det med en gang sies at ingen av de to sårbarhetene er blant de aller mest alvorlige, særlig fordi de krever lokal tilgang for å kunne utnyttes. Det er litt andre årsaker til at de framstår som oppsiktsvekkende, fordi begge skyldes at sikkerhetsanbefalinger fra Apple har blitt ignorert.
Utdatert programmeringsgrensesnitt
Den ene av sårbarhetene er relatert til den atferden som vises i Twitter-meldingen nedenfor.
Denne sårbarheten ser ut til å skyldes et klart brudd på Apples anbefalinger, ved at installasjonsverktøyet til Zoom-klienten tar i bruk AuthorizationExecuteWithPrivileges API, et programmeringsgrensesnitt som Apple i mange år har frarådet at brukes fordi det er usikkert.
Kort fortalt fører dette til at en del av installasjonsprogrammet er et skript som ved hjelp av det nevnte API-et kjøres med root-privilegier. Dette skriptet kopieres over i en egen mappe før det kjøres. Dersom en angriper erstatter dette skriptet med et ondsinnet skript under installasjonen eller en oppdatering av Zoom-klienten, er det det ondsinnede skriptet som vil bli kjørt med root-privilegier.
– Dette er alt som betyr noe: kan en lokal, ikke-privilegert angriper (eller skadevare) kullkaste skriptet før det kjøres som root? Siden det er Zoom vi snakker om, er svaret selvfølgelig ja, skriver Wardle.
Overstyrer sikkerhetsfunksjon
Den andre sårbarheten finnes i selve Zoom-klienten og gjør det mulig å injisere ondsinnet kode i adresserommet til klientprosessen. Dette åpner blant annet for at angripere kan få tilgang til datamaskinens mikrofon og kamera, så lenge brukeren allerede har samtykket til at Zoom-klienten har slik tilgang. Dette fordi den injiserte koden arver privilegiene til Zoom-klienten.
– Ingen advarsler vil bli vist, og den injiserte koden var i stand til å gjøre opptak av vilkårlig lyd og video, skriver Wardle.
I utgangspunktet er Zoom-klienten kompilert med «Hardened Runtime»-valget aktivert. Dette bidrar blant annet til at den kompilerte applikasjonen hindres i å laste rammeverk, plugins eller biblioteker med mindre de enten er signert av Apple eller med den samme team-ID-en som selve applikasjonen.
Men det er mulig å gjøre unntak fra denne regelen. Zoom-klienten tar i bruk en rettighet som heter com.apple.security.cs.disable-library-validation.
Denne gjør et unntak fra «Hardened Runtime»-reglene når det gjelder biblioteker. Ifølge Wardle er det flere måter å gjøre dette på, som kan utnyttes av ondsinnede. I blogginnlegget fokuserer han på én metode som både skal kunne gjøres helt i det skjulte, og som har varig effekt. Wardle mener at Apple bør sørge for at denne metoden ikke lar seg gjøre.
Sikkerhetsoppdateringer nå tilgjengelige
Zoom Video Communications kom i går med et blogginnlegg hvor selskapet svarer på en del av de kritiske spørsmålene som har blitt stilt om selskapets tjeneste i det siste. Blant annet beklager selskapet forvirringen det har skapt rundt bruken av kryptering.
I blogginnlegget opplyses det også at det i går ble utgitt sikkerhetsoppdateringer som både fjerner de to sårbarheten så Wardle omtaler, og lenke-sårbarheten i Windows-klienten som blant annet digi.no omtalte i går.
