Zoom ビデオ会議アプリの深刻な脆弱性により、Web サイトが Mac の Web カメラをハイジャックする可能性がある [更新]

Mac 用ビデオ会議アプリ Zoom に存在する深刻なゼロデイ脆弱性が、セキュリティ研究者の Jonathan Leitschuh によって本日公開されました。

Leitschuh 氏は、 Medium への投稿 で、Web ページにアクセスするだけで、Zoom アプリがインストールされた Mac 上で強制的にビデオ通話を開始できることを実証しました。

この欠陥は、Zoom アプリが Mac にインストールする Web サーバーが「通常のブラウザでは受け付けないリクエストを受け入れる」ことが部分的に原因であると言われており、この脆弱性を独自に確認した The Verge が指摘しています。

さらに、Leitschuh 氏は、古いバージョンの Zoom (パッチ適用後) では、この脆弱性により、ユーザーが無効な通話に繰り返し参加することにより、あらゆる Web ページが Mac の DOS (サービス拒否) につながる可能性があったと述べています。 Leitschuh氏によると、Zoomには「十分な自動更新機能」が欠けており、古いバージョンのアプリを実行しているユーザーがまだいる可能性があるため、これは依然として危険である可能性があるという。

Leitschuh氏は、3月下旬にこの問題をZoomに公表し、問題を修正するために90日間の猶予を与えたが、セキュリティ研究者の報告によると、アプリには依然として脆弱性が残っているという。

Zoom 開発者がこの脆弱性に対して何らかの措置を講じるのを待つ間、ユーザーは、会議に参加するときに Zoom が Mac のカメラをオンにすることを許可する設定を無効にすることで、自分で脆弱性を防ぐ措置を講じることができます。

Zoom は、Web ページにアクセスする以外にユーザーの操作を必要とせずに、Mac に Zoom クライアントを再インストールできるバックグラウンド プロセスとして localhost Web サーバーをインストールするため、アプリを単にアンインストールするだけでは解決しないことに注意してください。

便利なことに、Leitschuh の Medium 投稿 の最後には、Web サーバーを完全にアンインストールする一連のターミナル コマンドが含まれています。

更新: ZDNet に与えられた声明の中で、Zoom は Safari 12 で導入された変更に対する「回避策」として Mac 上でローカル Web サーバーを使用していると擁護しました。同社は、バックグラウンドでローカル サーバーを実行するのは問題だと感じたと述べました。劣悪なユーザー エクスペリエンスに対する正当な解決策であり、ユーザーはワンクリックでシームレスな会議に参加できるようになり、これが当社の製品の主要な差別化要因です。」

アップデート 2: Zoom はもはや防御的な姿勢をとらず、 パッチをリリースし ました。