Как поясняет TJ, о существовании этой весьма неприятной уязвимости стало известно на днях из публикации исследователя в области кибербезопасности Джонатана Лейтшуха. В ней говорилось, что вместе с приложением Zoom на компьютер пользователя устанавливается локальный веб-сервер, который взаимодействует с сайтами, обходя ограничения браузеров и запуская звонки при нажатии на специальную ссылку. Эта удобная простота позволяла хакерам втайне от пользователей включать веб-камеры на их устройствах с macOS.
Поначалу в Zoom настаивали на безопасности этой схемы, подчеркивая, что подключение к звонку не может произойти незаметно, однако затем разработчики сервиса изменили свою позицию и выпустили патч, который удаляет локальные серверы с компьютеров. Также обновление позволит пользователям удалять Zoom вручную.
Сам Лейтшух позднее сообщил, что гендиректор Zoom Эрик Юань убедился в существовании проблемы и принес исследователю извинения за первоначальную реакцию компании.