Webcamgat op Macs raakt ook Windows

De ontdekte kwetsbaarheid, die in maart al is gemeld aan Zoom, geeft kwaadwillenden de mogelijkheid om Zoom-gebruikers onwetend te laten meedoen aan een online-meeting waarbij hun webcam automatisch wordt ingeschakeld. Dit betreft de Mac-software van Zoom die ook nog eens een lokale webserver installeerde en actief achterliet na verwijdering van de app zelf. Deze opstelling was vanwege gebruiksgemak, legde Zoom uit in zijn aanvankelijke reactie waarin het de onthulde kwetsbaarheid plus geopenbaarde exploitcode als 'niet ernstig' bestempelde.

Vinkje in Windows gezet

Inmiddels is Zoom tot inkeer gekomen en heeft het een patch uitgebracht voor zijn Mac-software. Windows-gebruikers zijn echter ook kwetsbaar, weet security-onderzoeker Jonathan Leitschuh te melden, die de beveiliging van Zoom met succes aan de tand heeft gevoeld. Hij heeft niet alleen de webcamkaping en stilletjes draaiende lokale webserver op Macs ontdekt en onthuld, maar waarschuwt ook dat Zoom op Windows risico van webcamgluren brengt.

Zoom-gebruikers kunnen zichzelf hebben 'aangemeld' om ook vatbaar te zijn voor het stilletjes joinen van online-vergaderingen waarbij hun webcams automatisch aan gaan. Dit scenario kan gebeuren wanneer mensen met Zoom op Windows ooit de aangedragen optie hebben aangevinkt om hyperlinks voor Zoom-meetings altijd te openen in de geassocieerde app. Deze instelling kan weer worden uitgeschakeld, wat het risico dan wegneemt.