يمكن أن يساعد خيار التحديث التلقائي لـ Zoom المستخدمين على التأكد من أن لديهم الإصدار الأحدث والأكثر أمانًا من برنامج مؤتمرات الفيديو، والذي واجه العديد من مشكلات الخصوصية والأمان على مر السنين.
ومع ذلك أبلغ باحث أمني في Mac عن وجود ثغرات وجدها في الأداة والتي كان من الممكن أن يستغلها المهاجمون للسيطرة الكاملة على كمبيوتر الضحية في DefCon هذا العام.
وفقًا لـ Wired ، قدم باتريك واردل نقطتي ضعف خلال المؤتمر. لقد وجد أول واحد في فحص توقيع التطبيق، والذي يشهد على سلامة التحديث الجاري تثبيته ويفحصه للتأكد من أنه إصدار جديد من Zoom. بمعنى آخر، إنه مسؤول عن منع المهاجمين من خداع مثبت التحديث التلقائي لتنزيل إصدار أقدم وأكثر ضعفًا من التطبيق.
اكتشف واردل أن المهاجمين يمكنهم تجاوز التحقق من التوقيع عن طريق تسمية ملف البرامج الضارة الخاص بهم بطريقة معينة، وبمجرد دخولهم، يمكنهم الوصول إلى الجذر والتحكم في جهاز Mac الخاص بالضحية.
تقول The Verge إن Wardle كشفت عن الخطأ لـ زووم مرة أخرى في ديسمبر 2021، لكن الإصلاح الذي تم طرحه احتوى على خطأ آخر.
قد تكون هذه الثغرة الأمنية الثانية قد أعطت للمهاجمين طريقة للتحايل على أداة زووم الوقائية التي تم وضعها للتأكد من أن التحديث يقدم أحدث إصدار من التطبيق.
وبحسب ما ورد وجد واردل أنه من الممكن خداع أداة تسهل توزيع تحديثات زووم لقبول إصدار أقدم من برنامج مؤتمرات الفيديو.
لقد أصلح زووم بالفعل هذا الخلل أيضًا، لكن واردل وجد ثغرة أخرى، والتي قدمها أيضًا في المؤتمر، اكتشف أن هناك نقطة زمنية بين تحقق المثبت التلقائي لحزمة البرامج وعملية التثبيت الفعلية التي تسمح للمهاجمين بحقن تعليمات برمجية ضارة في التحديث.
يمكن أن تحتفظ الحزمة التي تم تنزيلها والمخصصة للتثبيت على ما يبدو بأذونات القراءة والكتابة الأصلية التي تسمح لأي مستخدم بتعديلها.
وهذا يعنى أنه حتى المستخدمين الذين ليس لديهم وصول إلى الجذر يمكنهم تبديل محتوياته برمز ضار والتحكم في الكمبيوتر الهدف.
أخبرت الشركة The Verge أنها تعمل الآن على تصحيح للثغرة الأمنية الجديدة التي كشف عنها Wardle، كما تلاحظ Wired، على الرغم من ذلك يحتاج المهاجمون إلى الوصول الحالي إلى جهاز المستخدم حتى يتمكنوا من استغلال هذه العيوب، حتى إذا لم يكن هناك خطر مباشر على معظم الأشخاص، فإن Zoom ينصح المستخدمين "بمواكبة أحدث إصدار" من التطبيق متى ظهر أحد.