更新：Zoom は、これらのセキュリティ上の懸念に対処するために一連のアップデートを計画していると述べています。

Mac版Zoomビデオ会議アプリに新たなゼロデイ脆弱性が発見されました。セキュリティ研究者のジョナサン・ライチュー氏がMediumへの投稿でこの脆弱性について解説しました。この脆弱性により、ウェブサイトがMacのカメラを乗っ取る可能性があります。

MacにZoomアプリをインストールすると、 The Vergeが解説しているように、「通常のブラウザでは受け付けないリクエストも受け付ける」ウェブサーバーもインストールされます。このウェブサーバーが今回の脆弱性を引き起こしているようです。

基本的に、Zoomウェブサーバーはバックグラウンドプロセスとして実行されています。そのため、どのウェブサイトでも「ユーザーの許可なく、ビデオカメラを起動した状態でユーザーをZoom通話に強制的に参加させる」ことが可能です。リンクをクリックするだけで、Zoomアプリがインストールされていなくても、カメラが有効になった状態で自動的にZoom会議通話に参加できます。

Leitschuh氏のMedium投稿内のリンクを使って脆弱性をテストしたところ、Macのカメラが有効になった状態でZoomの電話会議にすぐに接続できました。この脆弱性の最も厄介な点の一つは、Zoomアプリをアンインストールしていても脆弱性が機能することです。

さらに、Zoomクライアントをインストールしてからアンインストールしたことがある場合でも、localhostお使いのマシンにはウェブサーバーが残っており、ウェブページにアクセスするだけで、ユーザーによる操作は一切不要です。この再インストール「機能」は今でも動作しています。

Leitschuh氏は3月にZoomに対してこの脆弱性を初めて開示しました。Mediumの記事のタイムラインによると、脆弱性はその後一度修正されたものの、今月発生したリグレッションにより再び脆弱性が機能するようになったとのことです。リグレッションは本日修正されましたが、Leitschuh氏は回避策を発見しました。

さらに、Leitschuh氏によると、Zoomには「十分な自動更新機能」が欠けており、これはまだアプリの古いバージョンを実行しているユーザーがいることを意味する。

では、どうすれば身を守れるのでしょうか？最も簡単な方法は、Zoomの設定ウィンドウを開き、「ミーティングに参加するときにビデオをオフにする」設定を有効にすることです。また、ターミナルコマンドをいくつか実行してウェブサーバーを完全にアンインストールすることもできます。これらのコマンドは、Leitschuh氏のMedium投稿の下部に記載されています。

より詳しい技術的な詳細や概念実証のリンクについては、Medium をご覧ください。

https://twitter.com/mathowie/status/1148391109824921600

havebin.com を Google ニュース フィードに追加します。