セキュリティ研究者のジョナサン・ライチュー氏は今週、75万社以上の企業が利用するビデオ会議アプリケーション「Zoom」が、同ソフトウェアがインストールされているmacOSデバイス上で、あらゆるウェブサイトからビデオ会議を開くことを許可していることを明らかにした。Zoomソフトウェアをアンインストールしたユーザーでさえも、この脆弱性の影響を受ける可能性がある。
Zoom は、ユーザーの許可なく Zoom のインストールを再度有効にできるローカル ホスト サーバーを残すため、以前は Zoom を使用していたが削除した macOS ユーザーは依然として危険にさらされています。
ワンクリック攻撃
Zoomアプリの人気が高まった主な理由の一つは、誰にでも簡単なウェブリンクを送信してビデオチャットを開始できる機能です。研究者はこの機能を調査し、安全な方法で実装されていないことを発見しました。
MacにZoomをインストールしたことがあるなら、ローカルマシンのポート19421で稼働しているWebサーバーがあるはずです。Leitschuh氏によると、このWebサーバーはZoomミーティングを起動するだけでなく、Zoomアプリがアンインストールされている場合は再インストールすることも可能です。このローカルWebサーバーとやり取りできるのはZoomだけでなく、Zoomの機能を悪用しようとする悪意のあるウェブサイトも同様です。Leitschuh氏は、このWebサーバーについてはZoomの公開リソースのどこにも記載されていないと指摘しています。
研究者はまた、このアプリが画像ファイル内にデータをエンコードすることで、クロスオリジンリソース共有 (CORS) 保護を回避していることも発見した。
攻撃者は、ユーザーが気付かないうちに、クリックするとビデオ会議を開始する悪意のあるリンクをユーザーに送りつける可能性があります。悪意のある広告の中にリンクが隠されている場合、被害者はクリックするまでリンクに気づかない可能性があります。
現在、Zoomミーティングの主催者は、他のユーザーのカメラの有効化/無効化を制御できます。Zoomのセキュリティ脆弱性に対する迅速な解決策として、Leitschuh氏は、この機能を無効にし、デフォルトで音声のみを有効にすることを提案しました。しかし、ハッカーがビデオフィードを再び有効化する方法が存在する可能性があるため、これは完全な解決策ではないと警告しました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Leitschuh氏がZoomに脆弱性を伝えてから3ヶ月が経ち、Zoomは提案された迅速な修正プログラムを有効にしました。しかし、その直後にパッチにリグレッションが加えられ、攻撃者がカメラを起動した状態で脆弱性を悪用できるようになりました。
Zoomはライチュー氏に対し、Macで依然としてウェブサーバーソリューションを使用している唯一の理由は、macOSで最も人気のあるブラウザであるAppleのSafariが、zoom://のようなカスタムURIハンドラーをサポートしていないためだと述べた。カスタムURIハンドラーは、ウェブサーバーソリューションと同様のドライブバイ攻撃の脅威にユーザーをさらさない、より安全なソリューションとなるだろう。
自分自身をパッチする
Zoom は現在、Mac 上の Web サーバー ソリューションを放棄するつもりがないため、ユーザーは、Zoom ミーティングに参加するときにデフォルトでカメラをオンにする Zoom の機能を無効にすることで、攻撃から自分自身を部分的に保護することができます。
Web サーバーを完全に削除するには、次のコマンドを使用することを研究者は提案しています。
ターミナルで「lsof -i :19421」を実行してプロセスのPIDを取得します。「kill -9 [プロセス番号]」と入力します。「~/.zoomus」ディレクトリを削除して、Webサーバーのアプリケーションファイルを削除します。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
