Zoom、Windows版・MacOS版・iOSアプリに複数の脆弱性判明
- 元記事:Mitch
- 元記事:Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account
- 元記事:Felix
- 元記事:Hacker Fantastic
- 元記事:The ‘S’ in Zoom, Stands for Security
- HP:Zoom Video Communications
発表日時2020/3/24、26、30、4/1
ズームビデオコミュニケーションズにて提供されるオンライン会議ツール「Zoom」に脆弱性など多数の問題が見つかりハッカーやセキュリティ研究者たちが注意を呼び掛けている。
ZoomのWindows版クライアントではユーザーのネットワーク認証情報が洩れる脆弱性が発見されている。
問題となっているのはテキストメッセージのURLをハイパーリンク化する機能で、Windows版ではUNC(Universal Naming Convention)と呼ばれるローカルのネットワークにアクセスするための文字列もハイパーリンク化する。このリンクをクリックすると相手にWindowsネットワーク上のユーザー名とパスワードハッシュが送信され、これを手に入れた攻撃者は「Pass the Hash」と呼ばれるなりすまし攻撃が可能になり相手のPCやWindowsネットワークへ侵入の危険が高まる。
一方MacOS版でも複数の脆弱性が見つかっている。MacOSのインストーラーがインストールをクリックすることなくインストールを実行する脆弱性がありMacに物理的にアクセスできる攻撃者は権限が最低レベルであってもバグを仕込んだZoomインストーラーを仕込めばこれを通じ管理者権限が使えるという。
ウェブカメラとマイクを操作するシステムにも脆弱性が見つかっている。本来はユーザーの同意が必要であるカメラとマイクだが悪意あるコードを追加することによりZoomのアクセス権を取得できる。それによりZoomの音声や動画の記録、さらには任意のタイミングでカメラやマイクにアクセスできるようになるという。
iOSアプリではアプリ起動時にユーザーの同意なく、Facebookに情報を送信していたことが判明した。送信されていたデータは端末情報や広告識別子などで、以前Facebookアカウントでのログイン機能を実装していた際に使用していたFacebookSDKが情報の送信を行っていたという。同社は謝罪しアップデートで修正したがプライバシーポリシーに記載が無く消費者プライバシー保護法違反であるとして米国カルフォルニア州で集団訴訟が提起されている。
研究者らはセキュリティと機密性を必要とするのであればZoomではなく必要なセキュリティを持つプラットフォームを利用する方が良いと注意を呼び掛けている。
