Zoom‘un otomatik güncelleme seçeneği kullanıcılara inançlı bir tecrübe vaat ediyor. Lakin görünüşe nazaran birtakım değerli güvenlik açıkları mevcut. Bir Mac güvenlik araştırmacısı Zoom üzerinden Mac aygıtlarınızın nasıl ele geçirilebileceğini anlatan bir rapor yayınladı.
Wired’a nazaran, Patrick Wardle sunduğu rapor ve konferans sırasında iki güvenlik açığı sundu. Güvenlik araştırmacısının argümanına nazaran, saldırganların otomatik güncelleme yükleyicisini kandırarak uygulamanın daha eski ve daha savunmasız bir sürümünü indirmesini sağlayabilir.
Wardle, saldırganların berbat emelli yazılım evraklarını belli bir halde isimlendirerek imza denetimini atlayabileceklerini keşfetti. İçeri girdiklerinde, root erişimi alabilir ve kurbanın Mac aygıtını denetim edebilirler. Verge, Wardle’ın yanılgıyı Aralık 2021’de Zoom’a açıkladığını, lakin sunduğu düzeltmenin diğer bir kusur içerdiğini söylüyor. Bu ikinci güvenlik açığı, saldırganlara, uygulamanın en son sürümünü sunduğundan emin olmak için uygulanan Zoom muhafazasını atlatmanın bir yolunu vermiş olabilir. Wardle, Zoom’un güncelleme dağıtımını kolaylaştıran bir aracı kandırarak görüntü konferans yazılımının daha eski bir sürümünü kabul ettirmenin bir yolunu bulmuş olabilir.
Zoom kullananlar dikkat! Bilgisayarınız ele geçirilebilir
Zoom hali hazırda bu kusuru düzeltti, lakin Wardle konferansta da sunduğu diğer bir güvenlik açığı buldu. Otomatik yükleyicinin bir yazılım paketini doğrulaması ile bir saldırganın güncellemeye berbat emelli kod eklemesi mümkün olabiliyor. Tüm bu sorunlar de akıllara güvenlik ve kapalılık ile ilgili soru işaretleti getirdi. Şirket, The Verge’e Wardle’ın açıkladığı yeni güvenlik açığı için bir yama üzerinde çalıştığını söyledi. Fakat Wired’ın belirttiği üzere, saldırganların bu kusurlardan yararlanabilmeleri için bir kullanıcının aygıtına mevcut erişime sahip olmaları gerekiyor.
