Bug no Zoom permite que usuários de macOS sejam hackeados; veja como corrigir

62

Foi encontrada uma falha de segurança no Zoom que permite que hackers invadam a máquina de usuários do sistema operacional macOS através da plataforma. A dona do serviço de videoconferência disse em seu boletim de segurança que a correção para o problema (CVE-2022028756) está resolvida na atualização de versão 5.11.5, que deve ser instalada o quanto antes.

Patrick Wardle, fundador da Objective-See Foundation, organização que desenvolve soluções de segurança para macOS, descobriu a falha de segurança no sistema. O pesquisador de cibersegurança apresentou o problema durante a Def Con, um dos maiores eventos de hackers do mundo.

De acordo com o jornalista do The Verge, Corin Faife, que esteve presente na palestra, o procedimento usado para a invasão do sistema utiliza o instalador do Zoom, que usa permissões específicas do usuário para ser executado. Com essas permissões os hackers conseguem “enganar” o programa para colocar uma assinatura criptográfica do Zoom no pacote de instalação. Após isso os criminosos teriam capacidade de modificar, excluir ou adicionar arquivos no dispositivo.

Para instalar a atualização 5.11.5 é preciso abrir o aplicativo no Mac, entrar na barra de menu na parte superior do software e clicar em zoom.us (que pode ser diferente dependendo do país). Após isso irá aparecer a ferramenta de “Verificar atualizações”. Se o programa ainda não estiver atualizado em seu dispositivo será aberto uma janela com a versão mais recente. 

Outros bugs envolvendo o Zoom e MacOS

Antes desse bug informado, Wardle disse que informou o Zoom sobre outros problemas de segurança em dezembro de 2021. Com isso a plataforma aplicou uma correção, mas segundo o pesquisador essa atualização tinha outra vulnerabilidade.

Wardle disse ao The Verge que relatou o novo erro à empresa e esperou oito meses antes de publicar sua pesquisa. “Foi realmente frustrante esperar seis, sete, oito meses, sabendo que todas as versões Mac do Zoom estavam nos computadores dos usuários vulneráveis”.

Poucas semanas antes da sua palestra na Def Con, a Zoom disponibilizou um patch que corrige os bugs que ele descobriu. Porém ainda havia vulnerabilidade para o bug (CVE-2022028756) mencionado no início do texto.