Web会議サービス「Zoom」のmacOS版アプリのインストールプロセスで、ユーザーが許可しなくてもインストールが始まるようになっているのはマルウェア的だと米セキュリティ企業VMRayのテクニカルリードを務めるフェリックス・シール氏が自身のTwitterアカウントで指摘した。
これに対し、Zoomのエリック・ユアンCEOは、MacからWeb会議に参加するのは簡単ではないので、参加するまでに必要なクリック数を減らすためにこの方法を採用したが、指摘はもっともなので改善するとリプライした。
ユーザーがMacからWeb会議に参加しようとすると、PKG形式のZoomアプリのインストールを求められる。一般的なアプリの場合、インストール開始までに複数のステップがあるが、Zoomの場合はそうした手順はなく、macOSで通常は行われるユーザーへの警告も表示せずに「pre-requirement」スクリプトを実行する。
警告メッセージの代わりに「zoom.usから"ダウンロード"フォルダ内のファイルにアクセスしようとしています。」というメッセージが表示され、ここで「許可しない」を選ぶこともできるが、ほとんどのユーザーはここで「はい」をクリックするとシール氏は指摘する。これでインストールが始まる。
さらに、PKGには「zoomAutenticationTool」というツールが含まれており、アプリ更新の権限のないユーザーでもアプリを更新できるようになっている。これはユーザーにとっては便利だが、このためにZoomはシステムを偽装し、「ソーシャルエンジニアリングでユーザーにパスワードを入力させようとする」とシール氏は説明する。これは、マルウェアで使われているいかがわしい方法だという。
シール氏は「インストールでのクリック数を減らしたいというZoomの立場は分かるが、使いやすさの向上のためにセキュリティを脅かしたり、ユーザーに嘘をついてはいけない。一連のステップに悪意はないが、世界で最も広く使われているアプリの1つとしては悪いことだ」と主張する。
問題点の詳細は、シール氏のブログを参照されたい。
本稿執筆現在、ユアンCEOあるいはZoomからの新たな発表はまだない。
新型コロナウイルス感染症対策でテレワークを強いられる人が増える中、Zoomの利用者は急増している。米調査会社App Annieによると、新型コロナのパンデミック認定後の3月第2週のZoomアプリのダウンロード数は昨年第4四半期の週平均の数十倍に上ったという。
関連記事
関連リンク
"参加する" - Google ニュース
April 02, 2020 at 05:44AM
https://ift.tt/2JxHgoY
ZoomのMac版、インストール時にマルウェア的な挙動 セキュリティ専門家が指摘 - ITmedia
"参加する" - Google ニュース
https://ift.tt/2UTnB9B
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment