リモート会議システム「Zoom」のMac用クライアントにユーザーの許可なしにMacのカメラが有効になってしまう脆弱性が発見される。

ZoomのMac用クライアントに悪意のあるWebサイトにアクセスすることでユーザーの許可なしにMacのカメラが有効にしてしまう脆弱性が発見されています。詳細は以下から。 セキュリティ研究者のJonathan Leitschuhさんは現地時間2019年07月09日、米Zoom Video Communicationsが提供するリモート会議システム「Zoom Meeting」のMac用クライアントに悪意のあるWebサイトにアクセスするだけでユーザーの許可なしにMacに接続されているカメラが有効になり、ビデオ通話が開始される、いわゆるカメラハイジャックのゼロデイ脆弱性が発見されたとして詳細を公開し、GitHubリポジトリにPoCを公開ています。 This Zoom vulnerability is bananas. I tried one of the proof of concept link

[tmatsuu]

これを機にChrome拡張の一斉見直しを実施した。

[gyogyo6]

「試しに公開されたPoC(Webサイト)にアクセスしてみましたが、現在は脆弱性の存在を知ったAnonymousやJokerのマスクを被ったユーザーが多数ルームにいる状態」ひぃっ

[rytich]

こわい

[yatta47]

これ、webRTCじゃなかったっけ。別件でカメラがいつの間にかオンになるってのもあったな。

[MichaeL]

ひえぇ

[opera627]

こういう事象の時ってMacのカメラランプって光ってて気付けたりするの？

[JunichiIto]

https://github.com/JLLeitschuh/zoom_vulnerability_poc によると、バージョン4.4.4以上であれば修正済みとのこと。ちなみにREADME中のURLをクリックすると外人さんがたくさんいるルームが開くのでクリックしない方がいいです💦