Appleがビデオ会議ツールの脆弱性をmacOSから削除するアップデートをこっそり実施

by John Beans

「ユーザーの許可なくPC上にサーバーを構築して、ユーザーの許可なくカメラにアクセスして本人をビデオ通話に参加させる」という脆弱性が指摘されたビデオ会議ツール「Zoom」について、Appleが勝手に構築されたZoomのサーバーを削除するアップデートをmacOSにこっそり行っていたとTechCrunchが報じています。

Apple has pushed a silent Mac update to remove hidden Zoom web server | TechCrunch
https://techcrunch.com/2019/07/10/apple-silent-update-zoom-app/

Apple is silently removing Zoom’s web server software from Macs - The Verge
https://www.theverge.com/2019/7/10/20689644/apple-zoom-web-server-automatic-removal-silent-update-webcam-vulnerability

ビデオ会議ツールのZoomで指摘された脆弱性とは、ユーザーの許可なしにサーバーを構築し、カメラを有効化するというもの。macOS版ではインストール時にユーザーの許可なくPC上にサーバーを自動構築するという仕様となっていて、悪意のあるURLにアクセスしてしまうとアンインストールしても自動的に再インストールさせられる危険がありました。また、ユーザーの許可なしにカメラを有効化することができるため、知らない間に強制的にビデオ会議に参加させられるという可能性がありました。

発見したエンジニアはこの脆弱性を開発会社のZoom社に報告したものの、Zoom社の対応は不十分なものでした。そのため、エンジニアは2019年7月9日に脆弱性の詳細と修正方法を発表。Zoomは直後に修正パッチを公開しましたが、多数のユーザーから非難を受けました。

ビデオ会話ソフト「Zoom」にユーザーの許可なくカメラが有効化される脆弱性が発見される - GIGAZINE

TechCrunchは、Appleが非公開で行ったmacOSのアップデートによって、Zoomをインストールした時に勝手に構築されるサーバーが削除されるようになったと報告しています。AppleがTechCrunchに語ったところによれば、このアップデートはユーザーが操作をしなくても自動的に配信されるとのことで、記事作成時点では既にアップデートの詳細が公開されているそうです。

Appleによる告知なしの「サイレントアップデート」はこれまでにマルウェア対策では例がありますが、Zoomのような普通のアプリケーションへの対策で実施されるのは極めて異例だとのこと。

by John Beans

Zoomの広報担当者であるプリシラ・マッカーシー氏はTechCrunchに対して「Appleと協力してアップデートをテストできたことをうれしく思います。サーバーが勝手に構築される問題はすぐに解決されると期待しています。解決するまで耐えてくれたユーザーには感謝しています」とコメントしています。