Zoom-gebruikers op Macs vertelden dat ze de app moesten updaten als bedrijfsproblemen opgelost | Zoom

gebruikers Zoom Op Macs moet de app worden bijgewerkt nadat het bedrijf een patch heeft uitgebracht om een ​​kwetsbaarheid te verhelpen waardoor aanvallers hun computers kunnen overnemen.

De fix wordt aan het einde automatisch uitgerold, maar gebruikers kunnen en moeten deze meteen installeren wanneer ze de app openen door op . te klikken Zoom.us Selecteer in de menubalk linksboven in het scherm “Controleren op updates”.

Ontdekt door onafhankelijk beveiligingsonderzoeker Patrick Wardle – zijn broer Jeremy vond het populaire spel Wordle uit – werd de kwetsbaarheid vorige week voor het eerst gepresenteerd op de Def Con-hackconferentie in Las Vegas.

Het is gericht op het Zoom-installatieprogramma, dat het bedrijf gebruikt om wrijvingsloze automatische updates mogelijk te maken. Om de reis van de gebruiker eenvoudiger te maken, blijft het installatieprogramma op de achtergrond draaien vanaf het moment dat de gebruiker Zoom installeert, en doet dit met “superuser”-rechten, waardoor ze alles wat met de computer te maken heeft kunnen wijzigen.

Normaal gesproken zou het bedrijf proberen ervoor te zorgen dat dit veilig is door het installatieprogramma te beperken tot het werken aan code die cryptografisch is ondertekend door Zoom, maar de bug die Wardle ontdekte, betekent dat een aanvaller deze bescherming triviaal kan omzeilen en het installatieprogramma kan overtuigen om te downloaden en uit te voeren. welke malware ze ook wilden.

Dit is niet de eerste keer dat Zoom’s focus op gebruik zonder wrijving heeft geleid tot een beveiligingsprobleem. In april 2020, toen de pandemie van werken op afstand leidde tot een toename van 500% van het dagelijkse verkeer naar de Zoom-downloadpagina, Sommige critici zeiden dat de software van het bedrijf Het was een “privacyramp” en zelfs malware.

De wens van het bedrijf naar een eenvoudigere manier om deel te nemen aan videogesprekken heeft ertoe geleid dat het de beveiligingsmaatregelen heeft proberen te omzeilen die de computer van een gebruiker beschermen. Het is bekend dat Zoom in 2019 een verborgen webserver op gebruikersapparaten heeft geïnstalleerd om te proberen gesprekken met één klik samen te voegen, terwijl in 2020 een bug werd ontdekt waardoor aanvallers een Mac in een extern spionageapparaat konden veranderen. Zoom beweerde ook end-to-end encryptie te gebruiken om oproepen te beschermen, voor de bekentenis Zoiets deed ze niet.