Опція автоматичного оновлення Zoom може стати каналом, через який зловмисники захоплюють контроль над комп’ютерами та ноутбуками Apple. Це продемонстрував дослідник безпеки Mac Патрік Вордл під час конференції DefCon. Він представив дві вразливості Zoom, які можуть використати зловмисники.
Перша вразливість стосується перевірки цифрового підпису оригінальності програми, яка переконатися, що пакет є новою версією Zoom, а не чимось іншим.
Вордл виявив, що зловмисники можуть обійти перевірку підпису, назвавши свій файл шкідливого ПЗ певним чином. Скориставшись цією вразливістю вони можуть отримати root-доступ і контролювати Mac жертви.
Вордл повідомив Zoom про цю помилку ще в грудні 2021 року, але розроблений месенджером патч отримав іншу помилку. Ця друга вразливість могла дати зловмисникам спосіб обійти перевірку Zoom, щоб переконатися, що оновлення надає останню версію програми.
Можна змусити Zoom прийняти старішу версію програмного забезпечення для відеоконференцій.
Zoom вже виправив цю помилку, але Вордл знайшов ще одну вразливість, яку він також представив на конференції. Він виявив, що між перевіркою пакета програмного забезпечення програмою автоматичної інсталяції та фактичним процесом інсталяції є момент, який дозволяє зловмиснику впровадити шкідливий код в оновлення.
Зловмисники можуть замінити його вміст шкідливим кодом і отримати контроль над цільовим комп’ютером.
Програма відеоконференцій Zoom широко відома своїми дірами безпеки. Наприклад, на початку 2022 року стало відомо, що Zoom на Mac може записувати, навіть якщо додатком не користуються.
В 2020 році, коли людство масово перейшло на відеоконференції під час пандемії COVID-19, Zoom забороняли в окремих країнах та компаніях:
- Google заборонив Zoom на корпоративних комп’ютерах
- SpaceX заборонив Zoom внаслідок проблем з безпекою та приватністю
- Smart Communications (філіппінський інтернет-провайдер) заборонив Zoom для роботи
- Тайвань заборонив Zoom для всіх державних установ
- NASA заборонило робітникам використовувати Zoom
- Німецьке міністерство закордонних справ заборонило Zoom, дозволивши його лише на приватних комп’ютерах в разі екстреної ситуації
Австралійські сили оборони заборонили Zoom після того, як коміку вдалося віртуально проникнути на одну з нарад
