ビデオ会議アプリZoomはmacOSインストーラーをアップデートし、最近批判されていた「胡散臭い」と言われていたインストールプロセスを削除した。
Zoom は以下の点で厳しい監視を受けています。怪しいインストールプロセス、これは、よく使用される同様の回避策を利用します。macOSマルウェア。
ソフトウェアエンジニアのフェリックス・ゼーレ氏が発見したように、Zoom アプリはユーザーの最終同意なしに Mac にインストールできた。
どのようにして@zoom_usmacOS インストーラーは、インストールをクリックしなくても機能しますか?彼らはプレインストール スクリプトを (不正に) 使用し、バンドルされた 7zip を使用してアプリを手動で解凍し、現在のユーザーが管理者グループに属している場合 (root は必要ありません)、/Applications にインストールしていることが判明しました。pic.twitter.com/qgQ1XdU11M
— フェリックス (@c1truz_)2020年3月30日
ZoomのCEOはこれに対し、多くの新規ユーザーはこの脆弱性をすぐに利用しなければ会議に参加できない可能性があるため、インストーラーはプロセスを簡素化することを目的としていると述べた。同社は、感染症の発生以来、COVID-19 パンデミック、1 日あたりのユーザー数は 1,000 万人から 2 億人を超えるまでに膨れ上がりました。
同社の理由にもかかわらず、世間の反発は大きかった。木曜日、Zoomは新しいアップデートを発行し、「怪しい」インストーラーをより伝統的なインストーラーに置き換えた。
「彼らはプレインストール要素を完全に削除したので、本来あるべきインストーラーをクリックしてスルーする必要があります」とSeele氏はTheへのメッセージで説明している。寸前。偽のプロンプトも削除されたため、ユーザーは具体的にクリックスルーして Zoom をインストールする必要があります。 「感銘を受けたと言わざるを得ません」とゼーレは言う。 「おそらくダイアログが変更されるだろうと予想していましたが、彼らにとって『ゼロクリック』という側面は非常に重要だったので、プレインストールのトリックを使い続けるだろうと思いました。」
同社は、次のような措置を講じると発表した。90日間の機能と開発の凍結セキュリティ問題に取り組み、既存の問題を解決します。
最近の一連の苦情は、同社がユーザーデータをFacebookに送信する彼らの許可なしに。 Zoom は、iOS アプリを開いたとき、ユーザーが使用しているデバイス、使用している通信事業者、接続している都市とタイムゾーンを Facebook に通知しました。このデータには、ユーザーのデバイスに接続された固有の広告主タグが含まれており、企業が広告のターゲットを絞るために使用します。
Zoomは報道機関に対し、情報は匿名化されていると公に語っていたが、ユーザーがなぜ動揺しているのかは理解していた。会社アプリの機能を削除しました3 月 27 日にリリースされたアップデートで Facebook にデータを送信できるようになりました。
その直後、セキュリティ専門家は、Zoom が Apple のセキュリティ機能を回避することで Mac にインストールできることを発見しました。同時に、同社はサービスがエンドツーエンドの暗号化を提供していると主張していたが、それらの機能を備えていなかったことも判明した。
4月1日、それは発見されましたZoom のソフトウェアの欠陥により、ローカル ユーザーまたはマルウェアが Zoom のカメラとマイクの権限を利用できるようになるということです。攻撃者は、Zoom のプロセス空間に悪意のあるコードを挿入し、カメラとマイクの権限を「継承」し、ユーザーが知らないうちにそれらを乗っ取ることができます。
2019 年にセキュリティ研究者が発見したゼロデイ脆弱性このアプリでは、悪意のある Web サイトがユーザーの知らないうちに Mac の Web カメラを起動して表示できる可能性があります。
Isamu 
Isamu 
Isamu