Опция автоматического обновления Zoom может стать каналом, по которому злоумышленники захватывают контроль над компьютерами и ноутбуками Apple. Это продемонстрировал исследователь безопасности Mac Патрик Вордл на конференции DefCon. Он представил две уязвимости Zoom, которые могут использовать злоумышленники.

Первая уязвимость касается проверки цифровой подписи оригинальности программы, которая убедится, что пакет является новой версией Zoom, а не чем-нибудь другим.

Вордл обнаружил, что злоумышленники могут обойти проверку подписи, назвав свой файл вредоносного ПО определенным образом. Воспользовавшись этой уязвимостью они могут получить root-доступ и контролировать Mac жертвы.

Вордл сообщил Zoom об этой ошибке еще в декабре 2021 года, но разработанный мессенджером патч получил другую ошибку. Эта вторая уязвимость могла дать злоумышленникам способ обойти проверку Zoom, чтобы убедиться, что обновление предоставляет последнюю версию программы.

Можно заставить Zoom принять более старую версию программного обеспечения для видеоконференций.

Zoom уже исправил этeу уязвимость, но Вордл нашел еще одну уязвимость, которую он также представил на конференции. Он обнаружил, что между проверкой пакета программного обеспечения программой автоматической инсталляции и фактическим процессом инсталляции есть момент, позволяющий злоумышленнику внедрить вредоносный код в обновление.

Злоумышленники могут заменить содержимое вредоносным кодом и получить контроль над целевым компьютером.

Программа видеоконференций Zoom широко известна своими дырами безопасности.К примеру, в начале 2022 года стало известно, что Zoom на Mac может записывать, даже если приложением не пользуются.

В 2020 году, когда человечество массово перешло на видеоконференции во время пандемии COVID-19, Zoom запрещали в отдельных странах и компаниях:

• Google запретил Zoom на корпоративных компьютерах
• SpaceX запретил Zoom из-за проблем с безопасностью и конфиденциальностью
• Smart Communications (филиппинский интернет-провайдер) запретил Zoom для работы
• Тайвань запретил Zoom для всех государственных учреждений
• NASA запретило рабочим использовать Zoom
• Немецкое министерство иностранных дел запретило Zoom, разрешив его только на частных компьютерах в случае экстренной ситуации
• Австралийские силы обороны запретили Zoom после того, как комику удалось виртуально проникнуть на одно из совещаний