Zoom'un otomatik güncelleme seçeneği, kullanıcıların yıllar içinde birden fazla gizlilik ve güvenlik sorunu yaşayan video konferans yazılımının en son ve en güvenli sürümüne sahip olmalarını sağlıyor. Ancak bir Mac güvenlik araştırmacısı, araçta bulduğu güvenlik açıklarının, saldırganların bu yıl DefCon'da kurbanın bilgisayarının tam kontrolünü ele geçirmek için kullanılabileceğini bildirdi. Wired'ın bildirdiğine göre, Patrick Wardle konferans sırasında iki güvenlik açığı gösterdi. Bu açıklıkların ilki, yüklenen güncellemenin bütünlüğünü onaylayan ve Zoom'un yeni bir sürümü olduğundan emin olmak için inceleyen uygulamanın imza kontrolünde bulunuyordu. Başka bir deyişle, saldırganların otomatik güncelleme yükleyicisini kandırarak uygulamanın daha eski ve daha savunmasız bir sürümünü indirmesini engellemekten sorumlu bir özellikti.
Wardle, saldırganların kötü amaçlı yazılım dosyalarını belirli bir şekilde adlandırarak imza kontrolünü atlayabileceklerini keşfetti. Saldırganlar, bu işlemin ardından, root erişimi alabiliyor ve kurbanın Mac'ini kontrol edebiliyorlar. Verge, Wardle'ın hatayı Aralık 2021'de Zoom'a bildirdiğini, ancak sunulan düzeltmenin başka bir hata içerdiğini söylüyor.
Bu ikinci güvenlik açığı, saldırganlara, bir güncellemenin uygulamanın en son sürümünü sunduğundan emin olmak için uygulanan Zoom korumasını atlatmanın farklı bir yolunu vermiş olabilir. Wardle'ın, Zoom'un güncelleme dağıtımını kolaylaştıran bir aracı kandırarak video konferans yazılımının daha eski bir sürümünü kabul etmenin mümkün olduğu bildirildi.
Zoom bu hatayı şu anda düzeltmiş durumda, ancak Wardle konferansta da sunduğu başka bir güvenlik açığı daha buldu. Otomatik yükleyicinin bir yazılım paketini doğrulaması ile gerçek yükleme süreci arasında, bir saldırganın güncellemeye kötü amaçlı kod eklemesine izin veren bir zaman dilimi bulunduğunu keşfetti. Yükleme amaçlı indirilen bir paket, görünüşe göre herhangi bir kullanıcının değişiklik yapmasına izin verirken, orijinal okuma-yazma izinlerini koruyabiliyor. Bu, root erişimi olmayan kullanıcıların bile içeriğini kötü amaçlı kodla değiştirebileceği ve hedef cihazın kontrolünü ele geçirebileceği anlamına geliyor.
Şirket, The Verge'e Wardle'ın açıkladığı yeni güvenlik açığı için bir yama üzerinde çalıştığını söyledi. Ancak Wired'ın belirttiği gibi, saldırganların bu kusurlardan yararlanabilmeleri için bir kullanıcının cihazına mevcut erişime sahip olmaları gerekiyor. Çoğu insan için acil bir tehlike olmasa bile Zoom, kullanıcılara uygulamanın en son sürümüne gelen güncellemeleri takip etmelerini tavsiye ediyor.