Appleがビデオ会議ツールの脆弱性をmacOSから削除するアップデートをこっそり実施
by John Beans
「ユーザーの許可なくPC上にサーバーを構築して、ユーザーの許可なくカメラにアクセスして本人をビデオ通話に参加させる」という脆弱性が指摘されたビデオ会議ツール「Zoom」について、Appleが勝手に構築されたZoomのサーバーを削除するアップデートをmacOSにこっそり行っていたとTechCrunchが報じています。
Apple has pushed a silent Mac update to remove hidden Zoom web server | TechCrunch
https://techcrunch.com/2019/07/10/apple-silent-update-zoom-app/
Apple is silently removing Zoom’s web server software from Macs - The Verge
https://www.theverge.com/2019/7/10/20689644/apple-zoom-web-server-automatic-removal-silent-update-webcam-vulnerability
ビデオ会議ツールのZoomで指摘された脆弱性とは、ユーザーの許可なしにサーバーを構築し、カメラを有効化するというもの。macOS版ではインストール時にユーザーの許可なくPC上にサーバーを自動構築するという仕様となっていて、悪意のあるURLにアクセスしてしまうとアンインストールしても自動的に再インストールさせられる危険がありました。また、ユーザーの許可なしにカメラを有効化することができるため、知らない間に強制的にビデオ会議に参加させられるという可能性がありました。
発見したエンジニアはこの脆弱性を開発会社のZoom社に報告したものの、Zoom社の対応は不十分なものでした。そのため、エンジニアは2019年7月9日に脆弱性の詳細と修正方法を発表。Zoomは直後に修正パッチを公開しましたが、多数のユーザーから非難を受けました。
ビデオ会話ソフト「Zoom」にユーザーの許可なくカメラが有効化される脆弱性が発見される - GIGAZINE
TechCrunchは、Appleが非公開で行ったmacOSのアップデートによって、Zoomをインストールした時に勝手に構築されるサーバーが削除されるようになったと報告しています。AppleがTechCrunchに語ったところによれば、このアップデートはユーザーが操作をしなくても自動的に配信されるとのことで、記事作成時点では既にアップデートの詳細が公開されているそうです。
Appleによる告知なしの「サイレントアップデート」はこれまでにマルウェア対策では例がありますが、Zoomのような普通のアプリケーションへの対策で実施されるのは極めて異例だとのこと。
by John Beans
Zoomの広報担当者であるプリシラ・マッカーシー氏はTechCrunchに対して「Appleと協力してアップデートをテストできたことをうれしく思います。サーバーが勝手に構築される問題はすぐに解決されると期待しています。解決するまで耐えてくれたユーザーには感謝しています」とコメントしています。
・関連記事
ビデオ会話ソフト「Zoom」にユーザーの許可なくカメラが有効化される脆弱性が発見される - GIGAZINE
「macOS High Sierra」のプログラムコードを2行書き替えるだけで「見えないクリック」を使ってハッキングできるゼロデイ脆弱性の存在が判明 - GIGAZINE
1000以上のAndroidアプリが無断であなたの個人情報を盗んでいる、「許可しない」にしていてもダメ - GIGAZINE
チャットアプリWhatsAppに電話一本でスマホを乗っ取れる脆弱性が発見される、スパイウェアがインストールされた実例も - GIGAZINE
Googleのお抱えハッカーがWindowsのバグを発見、深刻度は低いがサービス拒否状態に陥る恐れあり - GIGAZINE
チャットアプリWhatsAppに電話一本でスマホを乗っ取れる脆弱性が発見される、スパイウェアがインストールされた実例も - GIGAZINE
「iPhoneアプリの多くがユーザー情報を第三者に送信している」との報道 - GIGAZINE
・関連コンテンツ