Zoom macOSはセキュリティを回避してインストールされ、エンドツーエンドで暗号化されていない
外出規制やリモートワークでテレビ会議サービスの利用が増加しています、Zoomはこれまで主にビジネスで利用されてきましたが、個人での利用も増加し、セキュリティ上の問題が発覚しています
以前はユーザーデータをFacebookに送信していただけでなく、修正したと述べていたが、今回は2つの異なるセキュリティ問題で非難されています
1つは、インストールされるAppleのセキュリティに関するもので、もう1つは、同社が持っていないエンドツーエンドの暗号化を謳っています
マルウェアトラッカーVMRayのテクニカルリーダーであるTwitterユーザー@c1truz_の報告によると、ZoomのMacアプリインストーラはプレインストールスクリプトを使用しており、虚偽のmacOSシステムメッセージを表示すると言います
Ever wondered how the @zoom_us macOS installer does it’s job without you ever clicking install? Turns out they (ab)use preinstallation scripts, manually unpack the app using a bundled 7zip and install it to /Applications if the current user is in the admin group (no root needed). pic.twitter.com/qgQ1XdU11M
— Felix (@c1truz_) March 30, 2020
これは厳密には悪意があるわけではありませんが、非常にいかがわしいもので、間違いなく苦い後味を残します
このアプリケーションは、ユーザーの最終的な同意なしにインストールされ、非常に誤解を招くプロンプトがroot権限の取得に使用されます
また、「これらは、macOSマルウェアで使用されているのと同じトリックです」と、彼は結論づけています
The Interceptは、Zoomはビデオ会議通話をエンドツーエンドで暗号化すると主張しているが、そうではないと主張しています
ビデオチャット全体を発信者と受信者だけが見ることができる完全なエンドツーエンドの暗号化ではなく、Zoomはいわゆるトランスポート暗号化を行っていると報じられています
これにより、ユーザーとZoomのサーバー間の接続が暗号化されますが、Zoom自体が通話を認識できなくなるわけではありません
The Interceptは「Zoom自身が暗号化されていない会議のビデオや音声にアクセスできるようにするもの」と言います
Zoomの広報担当者はThe Interceptにこのことを認め、「現在、ズームのビデオ会議でE2E暗号化を有効にすることはできません」と回答しました
(Via Apple Insider.)
LEAVE A REPLY