セキュリティ研究者は月曜日、人気のビデオ会議サービス「Zoom」のMacクライアントに、Webサイトがユーザーにカメラを有効にした状態で強制的に通話をさせることを可能にするゼロデイ脆弱性と、ローカルホストサーバーの疑わしい使用法を明らかにした。
研究者の Jonathan Leitschuh によって従来の 90 日間の猶予期間を経て発見され公開されたこの Zoom の脆弱性は、Safari、Chrome、Firefox など、Mac 上で実行されているさまざまな Web ブラウザに影響を与えます。
詳細については、概念実証この欠陥により、Web サイトは Zoom アプリがインストールされている、または場合によってはインストールされている Mac 上でビデオ通話を開始できるようになります。 Zoom アプリのバージョンによっては、悪質な Web サイトが単純な起動アクションまたは iframe エクスプロイトでビデオ通話をトリガーできる可能性があります。
Leitschuh の概念実証では、ユーザーが新しい会議に参加するときにビデオ ストリーミングをオフにすることを明示的に選択しない限り、リンクをクリックするとビデオが有効になった Zoom クライアントが開きます。オーディオもデフォルトでは無効になっています。
AppleInsiderZoom の Mac アプリの最新バージョン 4.4.4 に脆弱性が存在することを確認しました。
おそらく、さらに問題となるのは、Zoom がホスト マシン上のバックグラウンド プロセスとしてローカル Web サーバーを作成し、常に実行しているという事実です。この戦略は、Safari 12 で行われた変更に対する「回避策」として採用されました。これは、アプリの合理化されたユーザー エクスペリエンスを維持するために行われた調整であり、Zoom声明で述べたにZDNet。
Zoom をインストールするたびに、ローカル サーバーはポート 19421 で実行され、これを通じて Zoom 通話が開始され、アップデートが配信されます。皮肉なことに、Zoom はサーバーが常に実行され、ポートが開いているにもかかわらず、自動更新プロセスを実行することはほとんどありません。
さらに状況を悪化させるのは、Zoom をアンインストールしてもサーバーは無効にならず、サーバーはアクティブなままであり、ユーザーの操作なしでクライアント アプリを再インストールできることです。 Leitschuh 氏によると、Web ページにアクセスするだけで再インストールが引き起こされる可能性があります。
その声明を拡大すると、ZDNet同社はこの動きを擁護し、ウェブサーバーは「劣悪なユーザーエクスペリエンスに対する正当な解決策であり、ユーザーがシームレスなワンクリックで会議に参加できるようにするものであり、これが当社の製品の主要な差別化要因である」と述べた。
ライチュ氏は3月のゼロデイについてZoomに通知した。同社はこの欠陥を認めたが、HTTP GET リクエストの署名を含む最低限の修正しか提供しなかった。 Leitschuh 氏が最近 iframe の脆弱性を暴露した際、Zoom は延長を要求したが、研究者は、中核的な問題であるローカル サーバーが同社のパッチに残っていると述べ、開示を進めた。
Zoom は、ユーザーがプログラムを初めて実行するときに会議に参加するときにビデオを無効にすることを選択することで、露出を回避できると述べています。ただし、ユーザーはその保護を維持するために積極的に行動する必要があります。
「すべての初めて Zoom ユーザーは、特定のデバイスから最初の会議に参加する際に、ビデオをオフにするかどうかを尋ねられます」と Zoom は語った。ZDNet。 「それ以降の会議では、ユーザーは会議に参加するときにビデオをオフにするようにクライアントのビデオ設定を構成できます。さらに、システム管理者は、インストール時にサポートされているデバイスのビデオ設定を事前に構成したり、いつでも構成を変更したりできます。」
Zoomによると、7月に予定されているリリースでは、接続されているすべてのプラットフォームにわたって新規ユーザーの初期ビデオアクセス設定が保存されるという。さらに同社は、ホストがビデオを有効にして通話に自動的に参加する機能を削除しました。ZDNet報告します。
Zoomはlocalhostサーバーを削除するまでには至らないが、ユーザーはLeitschuhの元のレポートで詳述されているターミナルコマンドを使用して問題の「機能」を強制終了して削除することができる。
Isamu 
Isamu 
Isamu