ニューヨーク市が捜査を開始し、ビデオ会議アプリZoomに対して集団訴訟が起こされる中、あるセキュリティ研究者が同社のmacOSクライアントに2つの脆弱性を発見した。
Zoom は、セキュリティとプライバシーに関する評判に疑問があるにもかかわらず、新型コロナウイルス感染症 (COVID-19) のパンデミックのさなか、非常に人気が高まっています。そして今、ますます多くのユーザーが仕事の会議や友人とのチャットにアプリを利用するようになっており、ハッカーや政府はこのプラットフォームについて新たな懸念を引き起こしている。
セキュリティの脆弱性
macOS セキュリティ研究者であり、国家安全保障局の元ハッカーであるパトリック・ワードル氏は、覆われていないMac Zoom クライアントの最新バージョンには、ローカル セキュリティの脆弱性が 2 つ新たに発見されました。
最初の欠陥は、Zoom が Mac にインストールされる「いかがわしい」方法に依存しています。以前に取り上げた。ユーザーの介入なしで実行されるインストール プロセスを利用することで、低レベルの権限を持つユーザーまたはマルウェアが、コンピュータへの root アクセス (最高レベルの権限) を取得できます。
2 番目の欠陥は、おそらくより懸念されるもので、ローカル ユーザーまたはマルウェアが Zoom のカメラとマイクの権限を利用することを可能にします。攻撃者は、Zoom のプロセス空間に悪意のあるコードを挿入し、カメラとマイクの権限を「継承」し、ユーザーが知らないうちにそれらを乗っ取ることができます。
このようなローカル エクスプロイトは通常、コンピュータへの物理的なアクセスを必要としますが、通常はより一般的であり、必要な残りの基準が満たされている場合には防ぐのが困難です。
Zoomのセキュリティ上の失敗もこれが初めてではない。 2019 年にセキュリティ研究者が発見したゼロデイ脆弱性このアプリでは、悪意のある Web サイトがユーザーの知らないうちに Mac の Web カメラを起動して表示できる可能性があります。
プライバシーに関する懸念
セキュリティ上の欠陥に加えて、Zoom は最近、プライバシー慣行についても批判を受けています。 3月初めに、マザーボードiOS 用 Zoom アプリがユーザーデータをFacebookに送信するユーザーが Facebook アカウントを持っていない場合でも。
Zoomはそれ以来、削除されましたこの「機能」をめぐり、ニューヨーク州はこのアプリに対する調査を開始し、カリフォルニア州では集団訴訟が起こされた。
カリフォルニア北部地区連邦地方裁判所に提起された集団訴訟は、主張するZoom がデータ共有の慣行について明確に明らかにすることなく、ユーザーの個人情報を第三者に提供したこと、CBSニュース 報告した。ニューヨーク州司法長官レティシア・ジェームスもZoomのプライバシーポリシーに対する調査を開始した。
別の展開として、Zoom はユーザーの電子メール アドレスと写真をまったく知らない人に誤って漏洩する可能性もあります。によると マザーボード。
これは、Zoom が「非標準プロバイダー」(Gmail、Yahoo、または Hotmail) のすべての電子メール アドレスを 1 つの会社として扱うために発生しているように見えます。これらの非標準アドレスを持つユーザーは、同じ電子メール プロバイダーを使用している他のユーザーのフルネーム、プロフィール写真、ステータスを確認できます。また、それらのユーザーとビデオチャットを開始することもできます。
火曜日に、インターセプトまた、Zoomが顧客を誤解させていたと主張した。主張するビデオ通話がエンドツーエンドで暗号化されていること。そうではありません。代わりに、Zoom はトランスポート暗号化を使用しています。これにより、接続は暗号化されますが、Zoom 自体からの通話は隠蔽されません。
Isamu 
Isamu 
Isamu