リモート会議システム「Zoom」のMac用クライアントにユーザーの許可なしにMacのカメラが有効になってしまう脆弱性が発見される。

Zoom Video Communications Zoom
記事内に広告が含まれています。
スポンサーリンク
スポンサーリンク
スポンサーリンク

 ZoomのMac用クライアントに悪意のあるWebサイトにアクセスすることでユーザーの許可なしにMacのカメラが有効にしてしまう脆弱性が発見されています。詳細は以下から。

Zoomのアイコン

 セキュリティ研究者のJonathan Leitschuhさんは現地時間2019年07月09日、米Zoom Video Communicationsが提供するリモート会議システム「Zoom Meeting」のMac用クライアントに悪意のあるWebサイトにアクセスするだけでユーザーの許可なしにMacに接続されているカメラが有効になり、ビデオ通話が開始される、いわゆるカメラハイジャックのゼロデイ脆弱性が発見されたとして詳細を公開し、GitHubリポジトリにPoCを公開ています。

このPoCはSlackのMatt Haugheyさんらによっても確認されています。

原因

 Zoomによると、この脆弱性はAppleがセキュリティを強化したSafari v12の回避策として導入した機能が原因で、その機能とはユーザーを会議にシームレスに導くため(無断で)ローカルサーバーを設置し、Zoomの起動承認なしに会議を開くことができるというもので、

Zoom vulnerability

Jonathanさんはこの脆弱性によりZoomの公表値から最大7万5千の企業、および400万台(市場でのMacの割合を10%で計算)のWebカメラが驚異にさらされていると推測しており、2019年03月にZoomに脆弱性の詳細を連絡したところ、セキュリティチームから連絡があったそうですが、90日経過後も”Quick Fix”しか提供してこなかったため、さらに公開を延期しアップデートを待ったそうです。

A vulnerability in the Mac Zoom Client allows any malicious website to enable your camera without your permission. The flaw potentially exposes up to 750,000 companies around the world that use Zoom to conduct day-to-day business.

Zoom Zero Day: 4+ Million Webcams & maybe an RCE? Just get them to visit your website! – Medium

 試しに公開されたPoC(Webサイト)にアクセスしてみましたが、現在は脆弱性の存在を知ったAnonymousJokerのマスクを被ったユーザーが多数ルームにいる状態で、外部から見られるWebカメラをそれらのユーザーが確認するような様子になっています。

Zoom Video Communications

 また、Jonathanさんによるとv4.4.4以上のZoomクライアントではパッチが適用されており、[Video] → [Meetings]の「✅ミーティングの参加の際にマイビデオをオフにします」のオプションを有効にすることで、この問題を回避できるそうです。

過去にZoomを利用したユーザーも対象

 この問題の発端は、Zoomがユーザーをシームレスにリモート会議に参加できるよう、クライアントにlocalhostサーバーを作成する機能を追加し、そのサーバーが常時動いてしまっているためで、このサーバーはユーザーがZoomクライアントをアンインストールしても動き続けているため、DOS攻撃を仕掛けることも出来るそうです。

Additionally, if you’ve ever installed the Zoom client and then uninstalled it, you still have a localhost web server on your machine that will happily re-install the Zoom client for you, without requiring any user interaction on your behalf besides visiting a webpage. This re-install ‘feature’ continues to work to this day.

Zoom Zero Day: 4+ Million Webcams & maybe an RCE? Just get them to visit your website! – Medium

 ZoomはZDNetの取材に対し、今回の問題に対し情報を公開しなかった事を謝罪するとともに、問題のある機能は07月のアップデートで修正したとコメントし、今後はBug Bounty Programも行うと発表しています。

Zoom rolled out the usual tropes in its statement and said it “takes all security concerns related to our products very seriously and has a dedicated Security team in place”.
“We acknowledge that our website currently doesn’t provide clear information for reporting security concerns,” Zoom said.

Zoom defends use of local web server on Macs after security report – ZDNet

既にZoomクライアントをインストールしたMac

 Jonathanさんは既にZoom for Macクライアントをインストールしたユーザーに対して、”lsof -i :19421″でZoomのlocalhostサーバーが利用している19421ポートを使用するプロセス(ZoomOpener)を特定し、kill。その後、”~/.zoomus”ディレクトリ内にある”ZoomOpener.app”を削除して、touchコマンドで再インストールを防止するようにコメントしているので、Zoomクライアントをインストールした心当たりのある方はチェックしてみてください。

How to Remove ZoomOpener

To shut down the web server, run lsof -i :19421 to get the PID of the process, then do kill -9 [process number]. Then you can delete the ~/.zoomus directory to remove the web server application files.

Zoom Zero Day: 4+ Million Webcams & maybe an RCE? Just get them to visit your website! – Medium

lsof -i :19421
kill -9 [process number]
rm -rf ~/.zoomus
touch ~/.zoomus

追記

 先程、Zoomが今回の問題に対し正式にコメントを出し、この脆弱性を2019年05~07月のアップデートで修正する(した)とともに、今後数週間以内に公式のBug Bounty Programを開始すると発表しています。

Zoom July 9 Patch

 Zoomは現地時間2019年07月09日、Zoomアプリおよびコンポーネント、local web serverなど全てを削除する機能を追加したZoom for Mac v4.4.53932.0709を公開したと発表しています。

Zoom for Macのアンインストーラー

追記:07月11日

 Zoomがユーザーの許可なしにインストールしたWebサーバー(localhost)を削除するため、AppleがmacOSのセキュリティ機能「Malware Removal Tool」対応したため、macOSのセキュリティ機能を有効にしてあれば、Webサーバーは自動的に削除されます。

Malware Removal Tool v1.45

コメント

  1. 匿名 より:

    これ、今朝職場のチャットで大騒ぎになってたわ……

  2. 匿名 より:

    とりあえずMacBookシリーズのカメラなら、動作中に緑LEDは点灯するんだよな?

タイトルとURLをコピーしました