新しいズームの脆弱性は、見知らぬ人に個人データを漏らしています

進行中のコロナウイルスの大流行により、企業はSlackやZoomなどの仕事のコラボレーションやビデオ会議アプリに依存しています。 Zoomは新たな名声を享受している一方で、攻撃の標的にもなっており、脆弱性やセキュリティ侵害に対処しています。

今日の初めに 報告 チャット相手がWindowsログイン資格情報を盗むことを可能にするセキュリティの脆弱性について。 今、 バイス Zoomの別の欠陥を特定するレポートを公開しました。 Viceによると、Zoomは電子メールアドレスやユーザーの写真を漏らしており、一部のユーザーが見知らぬ人とビデオ通話を開始できるようにしています。 これは、アプリが同じ組織で機能していると認識している連絡先を処理する方法が原因です。

どうやら、会社には「会社のディレクトリ」を使用すると、ユーザーは同じドメインで他のユーザーを追加できるため、見つけやすくなり、電話をかけることができます。 この機能は、全員が同じドメイン名を共有する組織内のユーザーを対象としています。 ただし、このソフトウェアは一部のプライベートドメインを会社の一部として扱っているため、何千人ものランダムな人々が同じ会社で働いているかのようにプールに追加され、個人情報が互いに公開されます。

この問題についてViceにチップを渡したユーザーは、氏名、メールアドレス、プロフィール写真（ある場合）、ステータスを確認でき、ビデオ通話を利用できると述べました。 また、バグを悪用するには、ユーザーがxs4all.nl、dds.nl、quicknet.nlなどの非標準の電子メールでサインアップする必要があることにも言及しました。 これらはすべて、電子メールサービスを提供するオランダのインターネットサービスプロバイダー（ISP）です。

問題は、Zoomの「CompanyDirectory」設定にあります。この設定では、同じドメインを共有する電子メールアドレスでサインアップした場合、他のユーザーがユーザーの連絡先リストに自動的に追加されます。 これにより、ドメインが個々の会社に属している場合に、電話をかける特定の同僚を簡単に見つけることができます。 しかし、複数のZoomユーザーは、個人の電子メールアドレスでサインアップしたと言い、Zoomは、まるで同じ会社で働いているかのように、他の何千人もの人々と一緒にそれらをプールし、個人情報を互いに公開しました。

–副

Viceはまた、Twitterで同じ問題について不平を言っている他のインスタンスを見つけました。 すべてのユーザーはオランダの非標準の電子メールを使用してサインインし、アプリは彼らが会社の一部であると想定していました。

https://twitter.com/JJVLebon/status/1242175850306580486

オランダのISPXS4ALL 苦情に応えてツイート、「これは無効にできないものです。 Zoomがこれに役立つかどうかを確認できます。」 別のオランダのISPDDSは、この問題については認識しているが、顧客から直接何も聞いていないことをViceに伝えました。 一方、Zoomは、Viceに次のステートメントを提供しました。

Zoomはドメインのブラックリストを維持し、追加するドメインを定期的に事前に識別します。 メモで強調表示した特定のドメインに関して、それらはブラックリストに登録されています。

–ズーム

さらに、会社も ウェブサイトのセクションを指さした ユーザーが他のドメインを会社名簿機能から削除するように要求できる場所。 残念ながら、同社がズボンを脱いで捕まったのはこれが初めてではない。 2019年に、研究者は、ハッカーがユーザーの知らないうちにWebカメラを制御できるバグを発見しました。

前 EFFは指摘しました ホストが参加者を監視し、ズームウィンドウにフォーカスがあるかどうかを確認する方法と、ユーザーがビデオ通話を録音した場合、ズーム管理者は「ビデオ、音声、トランスクリプト、チャットファイル、および共有、分析、クラウド管理の特権へのアクセス」。 先週、ズームは Facebookとのデータ共有をキャッチ そして昨日私たちは カバー グループ通話のエンドツーエンド暗号化に関するZoomの偽の主張。

アップデート：

今後90日間、Zoomはすべてのリソースを使用して、セキュリティとプライバシーの問題をより適切に特定、対処、修正します。 そのため、Zoomは今後3か月以内に新機能を追加する予定はありません。 また、サードパーティの専門家や代表的なユーザーとの包括的なレビューを実施して、サービスのセキュリティを理解し、保証します。 この発表の詳細 こちら.