Zoom のバグにより、Web サイトが数百万台の Mac のカメラにアクセスできるようになる

ちょうど今日、セキュリティ研究者の Jonathan Leitschuh が、Mac 用 Zoom クライアントのセキュリティ上の欠陥を公開しました。この欠陥により、悪意のある Web サイトがユーザー側の許可や知識なしにカメラにアクセスできるようになります。この障害は、世界中の何十万もの企業とユーザーに影響を与える可能性があります。

それだけでなく、Zoom クライアントをインストールしている場合は、アンインストールしたとしても、脆弱性はまだ完全には解消されていません。このクライアントも、ユーザーの介入なしで再インストールできます。このバグは、脆弱性が公開されるまで機能していました。

問題のバグは、直接リンクを介してZoomビデオ通話ルームに接続できる機能を悪用します。これはブラウザを通じて開かれ、その後デバイス上で特定のアプリケーションが起動されます。ライチュ氏によれば、

「この素晴らしい機能がどのように実装されたのか、どのように実装されているのか興味がありました。実際には安全に実装されていないことがわかりました。」

The Vergeの人々は Litshchuh のコードを使用し、バグを再現することができました。そして、彼らだけではなく、他のユーザーも、その瞬間に会話をしていたランダムな人々のグループに接続することになった可能性があります。

この Zoom の脆弱性は危険です。私は概念実証リンクの 1 つを試してみたところ、他の 3 つのランドにも接続でき、リアルタイムでそれに夢中になりました。 https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf

— マット・ホーイ (@mathowie) 2019 年 7 月 9 日

研究者は、3月にZoom社にこの脆弱性を報告したと述べ、ユーザーに公開された欠陥の一部を受け入れるか解決するまでにかかった時間を年表で示した。 90 日が経過した現在、この問題がインストールされている（古いものである）人とインストールされていない人の両方に影響を与えることを考慮すると、この問題を完全に解決するためにあまり多くの対策が講じられているようには見えません。

修正方法

このセキュリティ上の欠陥を修正するには、Zoom アプリケーションにアクセスしてビデオ設定に移動し、会話に入るたびに強制的に無効にすることができます。これにより、悪意のある Web サイトによって有効化された場合でも、何も表示されなくなります。

このバグによりアンインストール後もローカル サーバーがアクティブなままになるため、この手順では不十分です。そのため、まずアプリケーションを最新バージョンに更新して、最新であることを確認する必要があります。

ズームの言うこと

The Vergeによると、 Zoom は、ユーザーにとってより即時かつ直観的に接続できるようにするために、問題のあるローカル Web サーバーを開発したと主張しています。

「[サーバーは] 劣悪なユーザー エクスペリエンスに対する正当な解決策であり、ユーザーはワンクリックでシームレスな会議に参加できるようになり、これが当社の製品の主な差別化要因です。」

Zoomは、ビデオ通話に入るときにビデオをいつアクティブにするかどうかの設定を保存するために、今月再びアプリを更新すると述べています。つまり、ユーザーがデフォルトのカメラからのビデオを手動で無効にすることを期待しています。

Zoom は、2015 年にはすでに 4,000 万人のユーザーがいたサービスです。現在ではさらに多くの数が存在する可能性があり、このセキュリティ欠陥の影響を受けている、または影響を受けているMac コンピュータが数百万台存在する可能性は十分にあります。