今週初め、セキュリティ研究者が、ビデオ会議アプリ「Zoom」がMacに隠しウェブサーバーをインストールし、ユーザーのウェブカメラが乗っ取られる危険性を指摘しました。TechCrunchは今回、 Appleがこの隠しウェブサーバーを削除するmacOSのサイレントアップデートをリリースしたと報じています。

AppleはTechCrunchに対し、Macユーザーにサイレントアップデートをプッシュしたこと、そしてインストールにユーザー操作は不要であることを確認した。このアップデートの目的は、Zoomによってインストールされたウェブサーバーを削除することだ。

Appleは、既知のマルウェアを阻止するために、Macにサイレントシグネチャアップデートを頻繁に配信しています（マルウェア対策サービスに似ています）。しかし、Appleが既知または人気のアプリに対して公に対策を講じるのは稀です。同社は、このアップデートを配信したのは、無防備なウェブサーバーがもたらすリスクからユーザーを保護するためだと述べています。

Zoomは、ユーザーがワンクリックでZoomミーティングに参加できるようにするためにウェブサーバーを設置したと説明しました。しかし、月曜日にセキュリティ研究者が詳細を説明したように、このウェブサーバーこそがZoomユーザーのウェブカメラとマイクが乗っ取られる危険性をはらませていたのです。Zoomは当初、この主張のいくつかの詳細を否定しましたが、最終的には撤回し、脆弱性を修正するためにMac版Zoomアプリのアップデートをリリースすると述べました。

しかし、Appleはユーザー保護のため、自ら対策を講じたようだ。Zoomがウェブサーバーを設置していたため、この脆弱性はZoomアプリを完全にアンインストールしたユーザーにも影響を及ぼした。そのため、Appleはユーザー保護のためにウェブサーバーをひそかに削除する必要性を感じたようだ。

Zoomは、今回のアップデートでAppleと協力できたことを「嬉しく思う」と述べた。

Zoomの広報担当者プリシラ・マッカーシー氏はTechCrunchに対し、「Appleと協力して今回のアップデートをテストできたことを嬉しく思います。ウェブサーバーの問題は本日中に解決する見込みです。ユーザーの皆様には、引き続き懸念事項への対応に取り組んでまいりますので、ご理解とご協力をお願いいたします。」と述べた。

元の脆弱性の詳細については、こちらをご覧ください。

havebin.com を Google ニュース フィードに追加します。