Macのカメラが乗っ取られてしまう脆弱性が発覚した「Zoom」が会議参加前にビデオ機能をONにするかを確認する機能を実装するも、同様の脆弱性がRingCentralなどでも確認される。

Zoom for Mac New Option Zoom
記事内に広告が含まれています。
スポンサーリンク

 Macのカメラが乗っ取られてしまう脆弱性が発覚した「Zoom」が会議参加前にビデオ機能をONにするかを確認する機能を実装したそうです。詳細は以下から。

Zoomのアイコン

 2019年07月08日、米Zoom Video Communications, Inc.が提供するリモート会議システム「Zoom Meeting」のMac用クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性が確認され、その後このZoomがユーザーの許可なしにMacにWebサーバーをインストールし、アプリをアンインストールしても削除されることなく、REC脆弱性になることが発覚しAppleがMRTで対策に乗り出しましたが、

Zoom脆弱性のタイムライン

  • 2019年07月08日
    ▶InfoSecのセキュリティ研究者Jonathan Leitschuhさんが「Zoom for Mac」クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性がるとMediumに投稿。
  • 2019年07月09日
    ▶Zoom CEOのEric S. Yuanさんがグループチャットでこの問題を認め、暫定的な対処法と今後の修正を発表。
  • 2019年07月09日
    ▶Zoomがこの脆弱性を修正し、隠されたWebサーバー(localhost)を削除する機能を搭載したJuly 9 Patchを公開。
  • 2019年07月10日
    ▶これまでにZoomアプリをインストールしたユーザーのMacから隠されたWebサーバーを削除するため、AppleがMacに入り込んだマルウェアを検出し削除するセキュリティ機能Malware Removal Toolをアップデートし、”~/.zoomus”を削除する機能を追加したと発表。
  • 2019年07月12日
    ▶Zoomデーモン(Webサーバー)だけを残してZoomアプリを削除すると、RCEが可能になる脆弱性が確認される。
  • 2019年07月14日New
    ▶会議を開始する前にビデオ(カメラを有効)を利用し、常にビデオプレビュー画面を表示するオプションを追加(デフォルトでON)。
  • 2019年07月15日New
    ▶ビデオ会議サービスRingCentralやZhumuにも同様の脆弱性が発覚し、開発元がアップデートやパッチを配布。

このZoomのMac用クライアントが現地時刻2019年07月14日にv4.4.55313.0714にアップデートされ、ビデオ会議開始前に、ビデオをONにして常にビデオプレビューを表示する機能を実装したと発表しています。

Zoom for Mac

July 14, 2019 Version 4.4.55313.0714
Confirm Starting Video When Joining a Meeting
Before joining a meeting with video on, users will now be shown their video preview and given the options to join with or without video. They can also check to always join with video without displaying the preview first.

New Updates for Mac OS – Zoom Help Center

 Zoom v4.4.55313.0714以降では新たにビデオ会議を始める前にビデオプレビューを行う&ビデオ(カメラ)なしで会議に参加するオプションが追加され、このオプションはデフォルトで有効になっています。

Zoom for Mac New Option

 また、同バージョンではDropboxを利用したファイル共有やHID(Human Interface Device)対応のBluetoothデバイスで電話に出たり、ミュートを行うことも可能になっているそうです。

おまけ

 今回のZoomの脆弱性は、ZoomがSafari v12で強化されたセキュリティ機能を迂回して、Safariからシームレスにユーザーをビデオ会議に移動させるために導入したWebサーバーが原因で、Appleが対応するまでに至りましたが、その後の調査により、このようなユーザーの許可なしにWebサーバーをインストールし常時待機させる手法を他のリモート会議サービスを提供しているRingCentralBlueJeansZhumuも導入していることが発覚し、

特にRingCentralのMac用クライアントはZoomとほぼ同じで、WebサーバーへのDoS攻撃およびカメラの乗っ取りが可能な脆弱性CVE-2019-13449とCVE-2019-13450があるとして、RingCentralはMac用クライアントv7.0.151508.0712でこの脆弱性のHotfixを行ったとBuzzFeedが報じているので、ユーザーの方はチェックしてみてください。

  • CVE-2019–13449 : Webサーバー(localhost)に対するDoS攻撃。
  • CVE-2019–13450 : 悪意のあるWebサイトへアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性。

コメント

タイトルとURLをコピーしました