על פי הדיווחים, שירות ועידות הווידאו Zoom מתקין את עצמו על מחשבי מק על ידי עקיפת האבטחה הרגילה של אפל, וגם מקדם שיש לה הצפנה מקצה לקצה, אך ללא ספק אין.
שימוש מוגבר באפליקציית ועידות הווידאו ובשירות זום במהלך התפרצות נגיף הקורונה מוביל לחשיפה של בעיות אבטחה נוספות. כמו גם בעברשליחת נתוני משתמשלפייסבוק, שזה אומרזה תוקן, הוא הואשם כעת בשתי בעיות אבטחה נפרדות.
באחד, לפי הדיווחים, הוא עובד סביב אבטחה של אפל שתתקין, ובאחר הוא מתיימר להצפנה מקצה לקצה שאין לו.
משתמש בטוויטר@c1truz_, מוביל טכני למעקב אחר תוכנות זדוניות VMRay, מדווח שמתקין אפליקציית ה-Mac של Zoom משתמש בסקריפטים מראש להתקנה ומציג לכאורה הודעת מערכת macOS מזויפת.
אי פעם תהיתם איך@zoom_usמתקין macOS עושה את העבודה מבלי שתלחץ על התקן? מסתבר שהם (שלא) משתמשים בסקריפטים מראש של התקנה, מפרקים את האפליקציה באופן ידני באמצעות 7zip מצורף ומתקנים אותו ב- /Applications אם המשתמש הנוכחי נמצא בקבוצת הניהול (אין צורך בשורש).pic.twitter.com/qgQ1XdU11M
— פליקס (@c1truz_)30 במרץ 2020
"זה לא זדוני למהדרין, אבל מאוד מוצל ובהחלט משאיר טעם לוואי מר," ממשיך @c1truz_, "האפליקציה מותקנת מבלי שהמשתמש נותן את הסכמתו הסופית [או שלה] והנחיה מטעה ביותר משמשת כדי להשיג הרשאות שורש. "
"[אלה] אותם טריקים שבהם משתמשים בתוכנה זדונית של macOS", הוא מסכם.
AppleInsiderפנה לזום בנוגע להאשמה אך טרם קיבל תגובה. גם אפל לא הגיבה בפומבי, אבל האשמה זו באה בעקבות בעיות קודמות שבהן אפל כפתה עדכון macOS על משתמשים כדי לתקן בעיית אבטחת זום.
בעבר, עקיפת אבטחה נוספת באפליקציית זום פירושה שניתן היה לאתרים לעשות זאתלהפעיל את המצלמות של המשתמשללא רשות. בְּהַתחָלָה,זום הגן על זהבתור דרך מכוונת להקל על המשתמשים בשיחות ועידה בווידאו. אחר כך זה נסוג, ואמר שכןלהסיר את התכונה.
אולם לפני שעשה זאת,אפל התערבהוהשתמש בעדכון שקט כפוי ל-macOS, השיטה שבה הוא מטפל בדרך כלל בתוכנות זדוניות.
לְחוּד,היירוטטוען כיזום טועןלקבל הצפנה מקצה לקצה עבור שיחות ועידת הווידאו שלה, אבל לא.
במקום הצפנה אמיתית מקצה לקצה, שבה ניתן לראות את כל הווידאו צ'אט רק על ידי המתקשר והנמענים שלו, על פי הדיווחים Zoom עושה מה שנקרא הצפנת תחבורה. זה הופך את החיבור בין המשתמשים לשרתי זום למוצפן, אך לא מונע מזום עצמה לראות את השיחות.
"למעשה, זום משתמש בהגדרה משלה למונח,"היירוטאומר, "כזה שמאפשר לזום עצמו לגשת לווידאו ואודיו לא מוצפנים מפגישות."
דובר זום אישר זאתהיירוט, בתגובה כי "כרגע, לא ניתן להפעיל הצפנת E2E עבור פגישות וידאו של זום".
"כאשר אנו משתמשים בביטוי 'קצה לקצה' בספרות האחרת שלנו, זה מתייחס לחיבור המוצפן מנקודת קצה זום לנקודת קצה זום", המשיך דובר זום.
