macOS安全研究人员,国家安全局前黑客Patrick Wardle 在视频会议软件Zoom的最新版macOS客户端中发现了两个新的安全漏洞,正当纽约发起针对Zoom提起集体诉讼调查时。
尽管在安全和隐私声誉方面存有疑问,但在新冠状肺炎(COVID-19)大流行中,Zoom变得非常流行。而现在,当越来越多的用户转向该应用程序进行工作会议或与朋友聊天时,黑客和政府对这个平台提出了新的担忧。
第一个漏洞依赖于Zoom在Mac上自行安装的“模糊”方式。通过利用无需用户交互即可完成的安装过程,具有低级别特权的用户或恶意软件可以获得对计算机的root访问权限。
第二个缺陷可能引起更多关注,它允许本地用户或恶意软件利用Zoom的摄像头和麦克风权限。攻击者可以将恶意代码注入到Zoom的进程空间中,并“继承”相机和麦克风的权限,从而使他们可以在用户不知情的情况下劫持它们。
这也不是Zoom的第一个安全漏洞。在2019年,一位安全研究人员在该应用中发现了一个零日漏洞,该漏洞可能允许恶意网站在用户不知情的情况下激活和查看Mac网络摄像头。
除安全漏洞外,Zoom最近还因其隐私惯例而受到批评。三月初,美国科技媒体Motherboard发现,即使用户没有Facebook帐户,Zoom的iOS客户端仍会将用户数据发送到Facebook。自从Zoom 删除了该“功能”后,纽约就对该应用程序进行了调查,并且在加利福尼亚州提起了集体诉讼。
据美国哥伦比亚广播公司新闻报道,向加利福尼亚北区美国地方法院提起的集体诉讼称,Zoom在未明确了解数据共享做法的情况下将个人用户信息提供给了第三方。 纽约总检察长莱蒂娅·詹姆斯(Letitia James)也对Zoom的隐私政策进行了调查。
根据Motherboard的报道,Zoom 可能无意中将用户电子邮件地址和照片泄露给完全陌生的人。因为Zoom将所有包含“非标准提供商”(Gmail,Yahoo或Hotmail)的电子邮件地址视为单个公司。具有这些非标准地址的用户可以查看具有相同电子邮件提供者的其他用户的全名,个人资料图片和状态。他们还可以与这些用户开始视频聊天。