ビデオ会議アプリズームの Mac クライアントには重大なセキュリティ上の欠陥があり、どの Web サイトでも警告なしに Mac のカメラをオンにすることができてしまう、とセキュリティ研究者の Jonathan Leitschuh は主張しています。
でブログ投稿月曜日、ライトシュー氏はこの脆弱性について詳しく説明し、90日以上前にZoom社に開示したが、同社はまだそれを修正していないと述べた。
問題は、Zoom がユーザーのローカルマシン上で Web サーバーを使用していることにあります。これにより、Zoom の優れた機能の一部が可能になります。たとえば、Web ブラウザで単純なリンクをクリックすると、アプリが自動的に起動します。
文書化されていない API を使用して、アプリをユーザーのマシンにインストールして Web サーバーを実行させることは、「信じられないほど大ざっぱに感じられます」と Leitschuh 氏は言います。しかし、それだけではありません。 Leitschuh 氏によると、「この Web サーバーは、単に Zoom ミーティングを開始するだけではありません。(...) この Web サーバーは、ユーザーが Zoom アプリをアンインストールした場合に、Zoom アプリを再インストールすることもできます。」
これ自体は悪いことですが、Leitschuh 氏は、ユーザーのマシン上でビデオを有効にして Zoom 通話を許可なく開始できる脆弱性を発見しました。同じ脆弱性により、攻撃者はユーザーのマシンに対して DOS (サービス拒否) タイプの攻撃を実行することができます。
マッシュ可能な光の速度
Leitschuh 氏は、3 月 26 日に Zoom に連絡して、この脆弱性に対する迅速な修正を提案したと述べています。何度もやり取りを行った後、Zoom は欠陥を部分的に修正しましたが、Leitschuh は修正を回避することができ、その後、同社は追加の修正を提供しませんでした。このセキュリティ問題は、Zoom for Mac の最新バージョン 4.4.4 にも依然として存在します。
でブログ投稿月曜日、Zoomはアプリの機能を擁護し、ユーザーは最初の会議に参加するときにビデオをオフにするよう促され、その後の会議ではビデオをオフに設定できると主張した。そうすると、ホストや他の参加者はカメラをオンにすることができなくなります。さらに、Zoom は、「Zoom クライアントのユーザー インターフェイスは起動時にフォアグラウンドで実行されるため、ユーザーは意図せず会議に参加したことがすぐにわかり、ビデオ設定を変更したり、すぐに退席したりする可能性がある」と主張しています。
同社は、2019 年 7 月の今後のリリースで、ユーザーがビデオ設定をより詳細に制御できるようにすると述べました。
同社はまた、ユーザーのマシン上にウェブサーバーが存在することについても言及し、これが「Safari 12で導入された変更に対する回避策」であり、「ユーザーエクスペリエンスが劣悪である問題に対する正当な解決策」であると述べた。
Zoomは、ビデオ通話の問題とDOSの問題はどちらも「リスクが低い」と評価しており、そのため同社はアプリの機能を変更しないことを決定した。同社はまた、「今後数週間」以内に脆弱性公開プログラムを開始すると約束した。
ユーザーが自問すべき主な質問は、システムのセキュリティを犠牲にして、少しの追加機能、おそらくはなくても生きていける機能を犠牲にしたいかどうかです。 Zoom は、アンインストール後にユーザーの許可なしに再インストールできる機能が特に懸念されます。この問題に対する公式な修正はないため、Leitschuh の「Web サイト」で説明されている手順に従って、マシンから Zoom の Web サーバーを削除できます。役職。