Zoom Meeting for Macのインストーラーがユーザーの承認なしにアプリをインストールする問題で、CEOが改善するとコメントするも、複数の脆弱性が指摘される。

スポンサーリンク

 Zoom Meeting for Macのインストーラーがユーザーの承認なしにアプリをインストールする問題で、CEOが改善するとコメントするも、複数の脆弱性が発見されているそうです。詳細は以下から。

Zoomのアイコン

 昨日、ビデオ会議サービス「Zoom Meeting」のMac用クライアントのインストーラーが、インストーラー内の”Preinstall”スクリプトを実行し、ユーザーの承認なしにアプリをインストールする問題が確認されていましたが、

この問題に対し、Zoom Video Communications, Inc.のEric S. Yuan CEOが、この仕様はMacでZoomの会議に参加することは簡単ではないため、Zoomクライアントがダウンロードされてから実行されるまでのクリック数を減らすために行っているとリプライしたそうで、加えてFelix Seeleさんの主張は理解し、今後改善を続けていくとコメントしたそうです。

The stated reasoning behind this practice according to the Zoom CEO is that they want to reduce the number of clicks from download to getting the client running. However, this is done by abusing the pre-requirements scripts. The user does not need to click through the installer, it just happens instantly.

Good Apps Behaving Badly: Zoom macOS Installer – VMRay

 ただ、問題はこれだけではなく、Zoom Meeting for Macのインストーラーは非管理者の場合、ヘルパーツールとOS X 10.7 Lionで非推奨となった特権ユーザーでツールを実行するAPIAuthorizationExecuteWithPrivilegesを利用し、実際は「Zoomはアプリケーションのアップデートをするために、あなたのパスワードが必要です」というプロンプトを書き換え、あたかもOSがユーザーのパスワードを要求しているかのように「System need your privilege to change」というメッセージを出すため、他のユーザーからさらなる説明を求められています。

System need your privilege to change

the Zoom installer actively overrides the message that is shown in the password prompt. Instead of displaying a message along the lines of “Zoom needs your password to update the existing Application”, they use the string “System need your privilege to change”(sic).

Good Apps Behaving Badly: Zoom macOS Installer – VMRay

スポンサーリンク

新たに発見された脆弱性

 この一連の流れから、元NSAでObjective-Seeを運営し、現在はJamfの主任セキュリティ研究員をされているPatrick Wardleさんが、Zoom Meeting for Macのインストーラーが利用している非推奨となっているAuthorizationExecuteWithPrivileges APIは、実行するバイナリを検証しないため、悪意のある攻撃者がバイナリを置き換えた場合、権限昇格の脆弱性になりうることを指摘し、

AuthorizationExecuteWithPrivilegesを利用した権限昇格の脆弱性

Zoom MeetingアプリがHardened RuntimeDisable Library Validation Entitlementを必要とすることから、コード・インジェクションによりカメラとマイクを乗っ取り、オーディオとビデオをキャプチャ出来るとして、実際に自身の部屋をキャプチャしてみせています。

Zoomのカメラ要求

The appeal of injection a library into Zoom, revolves around its (user-granted) access to the mic and camera. Once our malicious library is loaded into Zoom’s process/address space, the library will automatically inherit any/all of Zooms access rights/permissions!

The ‘S’ in Zoom, Stands for Security – Objective-See’s Blog

 この2つの問題(脆弱性)はどちらもローカルな脆弱性のため重大なインシデントになる可能性は低いと思いますが、Zoomは他のプラットフォームでも色々問題が起きているようで、Ruby on Railsの生みの親であるDHHことDavid Heinemeier Hanssonさんがコメントしている通り、会議室のURLも10桁の数字だけでなので、あまり重要な会議を行ったり、不用意にパスワードなしの会議室のURLを共有しないことをおすすめします。

DHHさんの一連のツイートで知りましたが、今、アメリカではオンラインクラスなどがハイジャックされるZoom-Bombingという問題が起きているそうです。

Zoom Meeting for Macの脆弱性タイムライン

  • 2019年07月08日
    ▶InfoSecのセキュリティ研究者Jonathan Leitschuhさんが「Zoom for Mac」クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性がるとMediumに投稿。

  • 2019年07月09日
    ▶Zoom CEOのEric S. Yuanさんがグループチャットでこの問題を認め、暫定的な対処法と今後の修正を発表。

  • 2019年07月09日
    ▶Zoomがこの脆弱性を修正し、隠されたWebサーバー(localhost)を削除する機能を搭載したJuly 9 Patchを公開。

  • 2019年07月10日
    ▶これまでにZoomアプリをインストールしたユーザーのMacから隠されたWebサーバーを削除するため、AppleがMacに入り込んだマルウェアを検出し削除するセキュリティ機能Malware Removal Toolをアップデートし、"~/.zoomus"を削除する機能を追加したと発表。

  • 2019年07月12日
    ▶Zoomデーモン(Webサーバー)だけを残してZoomアプリを削除すると、RCEが可能になる脆弱性が確認される。

  • 2019年07月14日
    ▶会議を開始する前にビデオ(カメラを有効)を利用し、常にビデオプレビュー画面を表示するオプションを追加(デフォルトでON)。

  • 2019年07月15日
    ▶ビデオ会議サービスRingCentralやZhumuにも同様の脆弱性が発覚し、開発元がアップデートやパッチを配布。

  • 2019年07月16日
    ▶Appleが今回の件で2度目のMRTアップデート(v1.46)を公開し、Zoomと同様のビデオ会議サービスRingCentralやZhumuなどがインストール時に作るWebサーバーを削除。

  • 2020年03月末
    ▶Zoom Meeting for Macのインストーラーが、ユーザー承認をせずにアプリをインストールする問題

  • 2020年03月31日
    ▶Zoom Meeting for Macに権限昇格とコードインジェクションを利用しMacのカメラとマイクからユーザーの行動をキャプチャされる可能性がある脆弱性が指摘される。

  • 2020年04月01日
    ▶ZoomのCEOが謝罪し、今後はセキュリティ問題の修正に専念すると発表

  • 2020年04月02日
    ▶Zoomが複数の脆弱性を修正し、インストーラーが承認を取るようにしたZoom Meeting for Mac v4.6.9をリリース。

  • 2020年04月07日
    ▶タイトルバー上のミーティングID表示の廃止や、ミーティングのホスト(主催者)用にセキュリティを一箇所でコントロールできる「セキュリティ」ボタンを追加したZoom Meeting for Mac/Windows v4.6.10をリリース。

  • 2020年04月12日
    ▶DropboxやOneDriveでのファイル共有やスケジュールされたミーティングでパスワードが要求されるようになったZoom for Mac/Windows v4.6.11がリリース。

  • 2020年04月27日▶複数のセキュリティ機能を追加/強化したZoom v5.0がリリース。

  • 2020年05月10日
    ▶メールアドレスやPMI、電話番号などの個人情報をアスタリスクで隠すようにしたZoom v5.0.2がリリース。

  • 2020年05月17日
    ▶スクリーン共有時のミーティング情報表示や待合室用の新しいチャイムを追加したZoom v5.0.3がリリース。

  • 2020年05月25日New
    ▶仮想カメラデバイスやアプリを再サポートしたZoom v5.0.4がリリース。

コメント

  1. 匿名 より:

    会社側としては脆弱性を発見してもらったんだから、ありがたいと思わなきゃ。

  2. 匿名 より:

    常に善なるものであるよう心がけよ。