Zoom: セキュリティ研究者が自動更新プロセスの複数の弱点を発見

Zoom にはいくつかのセキュリティ上の欠陥があることが判明しています。自動更新プロセスを通じて、ハッカーは被害者のマシンの制御を取り戻すことができます。

Zoom の自動更新オプションにより、ユーザーはビデオ会議ソフトウェアを常に最新バージョンに保つことができますが、近年プライバシーやセキュリティの問題が多く発生しています。Mac のセキュリティ専門家は、自動更新ツールに、攻撃者が被害者のコンピュータを完全に制御できるようになるいくつかの欠陥を発見しました。

Zoomで複数のセキュリティ上の欠陥が見つかる

パトリック・ワードル氏は今年のDefConで調査結果を発表した。Wired によると、そのうちの 2 件が明らかになったという。1 つ目は、アプリケーション署名の検証中に発見されました。これにより、インストールされた更新プログラムの整合性を検証して、その完全な正当性を確認できます。これにより、攻撃者がインストーラーに何でもインストールできると信じ込ませることができなくなります。

自動更新プロセスを通じて

Patrick Wardle 氏は、ハッカーがファイルに特定の名前を付けることで署名検証を回避できることを発見しました。侵入すると、root アクセスを取得し、被害者のマシンを制御できるようになります。The Vergeは、2021年12月に研究者がこの脆弱性の存在をZoomに報告したが、パッチには別の脆弱性が含まれていたと説明している。2 番目の脆弱性により、アップデート プロセスでアプリの最新バージョンが確実にインストールされるように、Zoom が導入した保護機能をハッカーが回避できる可能性があります。Patrick Wardle 氏は、Zoom のアップデート配布ツールをだまして古いバージョンのソフトウェアを受け入れることが可能であることを発見しました。

ハッカーは被害者のマシンの制御を取り戻すことができる

Zoom はすでにこの欠点を修正していますが、専門家は別の脆弱性を発見し、これもカンファレンス中に提示されました。自動インストーラーによるパッケージのチェックとインストール プロセス自体の間のどこかの時点で、悪意のあるコードがアップデートに挿入される可能性があります。インストールする必要があるダウンロードされたパッケージは、元の読み取り/書き込み権限を保持しているようで、誰でも変更できるようになっています。これは、root アクセス権を持たないユーザーでも悪意のあるコードを含むコンテンツを共有し、ターゲット マシンを制御できることを意味します。

同社はThe Vergeに対し、専門家が発見したこの新たな脆弱性に対するパッチの開発に取り組んでいると語った。Wired が指摘しているように、攻撃者がこれらの欠陥を悪用するには、ユーザーのマシンにすでにアクセスできる必要があります。ほとんどのユーザーにとって差し迫った危険はありませんが、Zoom ではアプリを常に「最新バージョンに保つ」ことを推奨しています。これにより、エンドツーエンドの暗号化が可能になります。