כשניו יורק פתחה בחקירה ותביעה ייצוגית מוגשת נגד אפליקציית ועידת הווידאו Zoom, חוקר אבטחה גילה שתי נקודות תורפה בלקוח ה-macOS שלה.
זום הפך פופולרי מאוד בעיצומה של מגיפת ה-COVID-19, למרות המוניטין המפוקפק של האבטחה והפרטיות שלו. ועכשיו, כשיותר ויותר משתמשים פונים לאפליקציה לפגישות עבודה או צ'אטים עם חברים, האקרים וממשלות מעלים חששות חדשים לגבי הפלטפורמה.
פרצות אבטחה
פטריק וורדל, חוקר אבטחה של macOS ולשעבר האקר עבור הסוכנות לביטחון לאומיחָשׂוּףשתי פרצות אבטחה מקומיות חדשות בגרסה האחרונה של לקוח Mac Zoom.
הפגם הראשון מסתמך על האופן ה"מוצל" שבו זום מתקין את עצמו על מק, אשר יש לנומכוסה בעבר. על ידי ניצול תהליך ההתקנה, הנעשה ללא אינטראקציה של המשתמש, משתמש או תוכנה זדונית עם הרשאות ברמה נמוכה יכולים לקבל גישת שורש למחשב - רמת ההרשאות הגבוהה ביותר.
הפגם השני, שללא ספק מדאיג יותר, מאפשר למשתמש מקומי או לתוכנת תוכנה זדונית לחזור על הרשאות המצלמה והמיקרופון של זום. תוקף יכול להחדיר קוד זדוני למרחב התהליך של זום ו"לרשת" הרשאות מצלמה ומיקרופון, מה שמאפשר לו לחטוף אותם ללא ידיעת המשתמש.
בעוד שמנצלים מקומיים כמו אלה דורשים בדרך כלל גישה פיזית למחשב, הם בדרך כלל נפוצים הרבה יותר וקשים למניעה אם יתקיימו שאר הקריטריונים הדרושים.
זו גם לא טעות האבטחה הראשונה של זום. בשנת 2019, חוקר אבטחה מצא אפגיעות של יום אפסבאפליקציה שיכולה הייתה לאפשר לאתרים זדוניים להפעיל ולצפות במצלמת אינטרנט של Mac ללא ידיעת המשתמש.
חששות לפרטיות
יחד עם פגמי האבטחה, זום תפסה לאחרונה גם את נוהלי הפרטיות שלה. מוקדם יותר במרץ,לוח אםגילה שאפליקציית Zoom עבור iOS הייתהשליחת נתוני משתמש לפייסבוק, גם אם למשתמשים לא היה חשבון פייסבוק.
בעוד זום כבר מאזהוסר"התכונה הזו", ניו יורק פתחה בחקירה לגבי האפליקציה ותביעה ייצוגית הוגשה בקליפורניה.
התובענה הייצוגית, שהוגשה לבית המשפט המחוזי בארה"ב עבור המחוז הצפוני של קליפורניה,טועןש-Zoom מסרה מידע אישי על משתמש לצדדים שלישיים מבלי להיות ברורה במפורש לגבי נוהלי שיתוף הנתונים,חדשות CBS דיווח.התובעת הכללית של ניו יורק, לטיטיה ג'יימס, פתחה גם בחקירה של מדיניות הפרטיות של זום.
בפיתוח נפרד, זום עשויה גם להדליף בטעות כתובות דוא"ל ותמונות של משתמשים לזרים מוחלטים,לְפִי לוח אם.
נראה שזה קורה, כי זום מתייחסת לכל כתובות האימייל עם "ספקים לא סטנדרטיים" (Gmail, Yahoo או Hotmail) כחברות בודדות. משתמשים עם כתובות לא סטנדרטיות אלו יכולים לראות את השמות המלאים, תמונות הפרופיל והסטטוסים של משתמשים אחרים עם אותו ספק דוא"ל. הם גם יכולים להתחיל שיחות וידאו צ'אט עם אותם משתמשים.
ביום שלישי,היירוטטען גם שזום הטעתה לקוחות על ידיטועןששיחות וידאו הוצפנו מקצה לקצה. הם לא. במקום זאת, זום משתמשת בהצפנת תחבורה, המצפינה את החיבור אך אינה מסתירה שיחות מ-Zoom עצמה.
