אפליקציית ועידת הווידאו Zoom עדכנה את מתקין ה-macOS שלה, והסירה את תהליך ההתקנה שתואר כ"מוצל" שעליו ספגה לאחרונה ביקורת.
זום נמצא בבדיקה אינטנסיבית עבורותהליך התקנה מוצל,אשר משתמשת בדרכי עקיפה דומות המשמשות לעתים קרובות על ידיmacOSתוכנות זדוניות.
ניתן היה להתקין את אפליקציית Zoom ב-Mac ללא הסכמה סופית של המשתמש, כפי שגילה מהנדס התוכנה פליקס סילה.
אי פעם תהיתם איך@zoom_usמתקין macOS עושה את העבודה מבלי שתלחץ על התקן? מסתבר שהם (שלא) משתמשים בסקריפטים מראש של התקנה, מפרקים את האפליקציה באופן ידני באמצעות 7zip מצורף ומתקנים אותו ב- /Applications אם המשתמש הנוכחי נמצא בקבוצת הניהול (אין צורך בשורש).pic.twitter.com/qgQ1XdU11M
— פליקס (@c1truz_)30 במרץ 2020
מנכ"ל זום הגיב ואמר כי המתקין נועד לפשט את התהליך, מכיוון שמשתמשים חדשים רבים לא יוכלו להצטרף לפגישה ללא היתרונות במהירות. החברה ציינה כי מאז פרוץ המגפת COVID-19,הם עלו מ-10 מיליון משתמשים יומיים ליותר מ-200 מיליון משתמשים יומיים.
למרות הנימוקים של החברה, תגובה ציבורית הייתה עזה. ביום חמישי, זום הוציאה עדכון חדש, שהחליף את המתקין ה"מוצל" במתקן מסורתי יותר.
"הם הסירו לחלוטין את חומרי ההתקנה המוקדמים, אז עכשיו אתה צריך ללחוץ על תוכנית ההתקנה כפי שהוא צריך להיות", מסביר Seele בהודעה ל-Theלִגבּוֹל.גם ההנחיה המזויפת הוסרה כך שמשתמשים צריכים ללחוץ באופן ספציפי ולהתקין את זום. "אני חייב לומר שהתרשמתי", אומר סילה. "ציפיתי שאולי ישנו את הדיאלוג, אבל מכיוון שההיבט של 'אפס קליק' היה כל כך חשוב עבורם, חשבתי שהם יישארו עם הטריק שלפני ההתקנה."
החברה אמרה שהם יעברו אהקפאת תכונה והקפאה ל-90 יוםלעבוד על בעיות אבטחה ולתקן בעיות קיימות.
שלל התלונות האחרון התחיל כשהתגלה שהחברה כןשליחת נתוני משתמש לפייסבוקללא רשותם. זום הודיעה לפייסבוק כאשר אפליקציית iOS נפתחה, באיזה מכשיר משתמש משתמש, באיזה ספק הוא נמצא, ומאיזה עיר ואזור זמן הם מתחברים. הנתונים כללו תג מפרסם ייחודי, המחובר למכשיר של משתמש, שחברות משתמשות בו כדי למקד פרסומות.
זום אמרה בפומבי לכלי החדשות שהמידע עבר אנונימיות, אך הבין מדוע משתמשים כועסים. החברההסיר את יכולת האפליקציהלשלוח נתונים לפייסבוק בעדכון שנדחק ב-27 במרץ.
זמן קצר לאחר מכן, מומחי אבטחה גילו ש-Zoom הצליחה להתקין את עצמה במחשבי מקינטוש על ידי עקיפת תכונות האבטחה של אפל. במקביל התגלה שהחברה טענה שהשירות מציע הצפנה מקצה לקצה אך לא היו ברשותה תכונות אלו.
ב-1 באפריל,זה התגלהכי פגם בתוכנה של זום מאפשר למשתמש מקומי או לתוכנה זדונית לחזור על הרשאות המצלמה והמיקרופון של זום. תוקף יכול להחדיר קוד זדוני למרחב התהליך של זום ו"לרשת" הרשאות מצלמה ומיקרופון, מה שמאפשר לו לחטוף אותם ללא ידיעת המשתמש.
בשנת 2019, חוקר אבטחה מצא אפגיעות של יום אפסבאפליקציה שיכולה הייתה לאפשר לאתרים זדוניים להפעיל ולצפות במצלמת אינטרנט של Mac ללא ידיעת המשתמש.
