Появились еще два недостатка macOS Zoom, тянется судебный процесс и правительственное расследование

Исследователи в области безопасности и правительства поднимают новые опасения по поводу конфиденциальности и безопасности Zoom.

Поскольку в Нью-Йорке начинается расследование, а против приложения для видеоконференций Zoom предъявляется коллективный иск, исследователь безопасности обнаружил две уязвимости в своем клиенте macOS.

Исследователи в области безопасности и правительства поднимают новые опасения по поводу конфиденциальности и безопасности Zoom.
Исследователи в области безопасности и правительства поднимают новые опасения по поводу конфиденциальности и безопасности Zoom.

Zoom стал невероятно популярным во время пандемии COVID-19, несмотря на сомнительную репутацию в сфере безопасности и конфиденциальности. И теперь, когда все больше и больше пользователей обращаются к приложению для рабочих встреч или чатов с друзьями, хакеры и правительства поднимают новые опасения по поводу платформы.

Уязвимости безопасности

Патрик Уордл, исследователь безопасности MacOS и бывший хакер из Агентства национальной безопасности, обнаружил две новые уязвимости локальной безопасности в последней версии клиента Mac Zoom.

Первый недостаток заключается в «теневом» способе установки Zoom на Mac, о котором мы уже говорили. Воспользовавшись процессом установки, который выполняется без взаимодействия с пользователем, пользователь или вредоносная программа с низкоуровневыми привилегиями могут получить root-доступ к компьютеру — самый высокий уровень привилегий.

Второй недостаток, который, возможно, имеет большее значение, позволяет локальному пользователю или вредоносному ПО использовать разрешения Zoom для камеры и микрофона. Злоумышленник может внедрить вредоносный код в пространство процесса Zoom и «унаследовать» разрешения камеры и микрофона, позволяя им захватывать их без ведома пользователя.

Хотя локальные эксплойты, подобные этим, обычно требуют физического доступа к компьютеру, они, как правило, гораздо более распространены и их трудно предотвратить, если соблюдаются остальные необходимые критерии.

Это не первая грубая ошибка безопасности Zoom. В 2019 году исследователь безопасности обнаружил в приложении уязвимость нулевого дня, которая могла позволить вредоносным веб-сайтам активировать и просматривать веб-камеру Mac без ведома пользователя.

Проблемы конфиденциальности

Наряду с недостатками безопасности, Zoom также недавно стал свидетелем своей практики обеспечения конфиденциальности. Ранее, в марте, материнская плата обнаружила, что приложение Zoom для iOS отправляет данные пользователя в Facebook, даже если у пользователей нет учетной записи Facebook.

В то время как Zoom с тех пор убрал эту «особенность», Нью-Йорк начал расследование приложения, и в Калифорнии был подан коллективный иск.

По сообщению CBS News, в коллективном иске, поданном в окружной суд США по северному округу штата Калифорния, утверждается, что Zoom передавал личную информацию о пользователях третьим сторонам, не имея четкого представления о методах обмена данными. Генеральный прокурор Нью-Йорка Летития Джеймс также начала исследование политики конфиденциальности Zoom.

По словам Материнской платы, в отдельной разработке Zoom может непреднамеренно передавать адреса электронной почты и фотографии пользователей совершенно незнакомым людям.

Это происходит, потому что Zoom рассматривает все адреса электронной почты с «нестандартными провайдерами» (Gmail, Yahoo или Hotmail) как отдельные компании. Пользователи с этими нестандартными адресами могут видеть полные имена, изображения профиля и статусы других пользователей с тем же поставщиком электронной почты. Они также могут создавать видеочаты с этими пользователями.

Во вторник The Intercept также заявил, что Zoom вводит клиентов в заблуждение, утверждая, что видеозвонки были зашифрованы сквозным. Это не так. Вместо этого Zoom использует транспортное шифрование, которое шифрует соединение, но не скрывает вызовы от самого Zoom.

Соцсети