Zoom’un otomatik güncelleme özelliği, kullanıcıların yıllar boyunca birkaç gizlilik ve güvenlik sorunuyla karşılaşan bu video konferans yazılımının en güncel ve güvenli sürümüne ulaşmalarını sağlamak amacıyla tasarlanmıştır. Ancak, bir Mac güvenlik araştırmacısı, bu araçta keşfettiği güvenlik açıklarının, kötü niyetli kişilerin bu yılki DefCon konferansında kurbanlarının bilgisayarlarının tam kontrolünü ele geçirmesine olanak tanıyabileceğini bildirmiştir.
Patrick Wardle adlı araştırmacı, konferans sırasında iki ayrı güvenlik açığını gözler önüne serdi. Bu açıklıklardan ilki, yüklenen güncellemenin bütünlüğünü doğrulamakla görevli olan ve Zoom’un yeni bir sürümünü indirdiğinden emin olmaya çalışan uygulamanın imza kontrolü ile ilgilidir. Başka bir deyişle, saldırganlar, otomatik güncelleme yükleyicisini manipüle ederek, daha eski ve savunmasız bir Zoom sürümünün indirilmesini engelleyen bu kritik özelliği aşmayı başarabilirler.
Wardle, kötü niyetli yazılım dosyalarının belirli şekilde adlandırılması durumunda, imza kontrolünü atlatmanın mümkün olduğunu keşfetti. Bu açığın istismar edilmesiyle birlikte, saldırganlar root erişimi elde edebiliyor ve kurbanın Mac bilgisayarını tam anlamıyla kontrol altına alabiliyorlar. The Verge’in haberine göre, Wardle bu güvenlik açığını Aralık 2021’de Zoom’a bildirmiş; ancak önerilen düzeltmenin de başka bir hata içerdiği ortaya çıkmıştır. İkinci güvenlik açığı, saldırganlara, bir güncellemenin uygulamanın en son sürümünü sunduğundan emin olmak için uygulanan Zoom korumasını atlatmanın farklı bir yolunu sunuyor olabilir.
Wardle, Zoom’un güncelleme dağıtımını kolaylaştıran bir aracı manipüle ederek, video konferans yazılımının daha eski bir sürümünü kabul etmenin mümkün olduğunu bildirmiştir. Şirket, bu hatayı şu an itibarıyla düzeltmiş durumda; ancak Wardle, konferans esnasında başka bir güvenlik açığı daha keşfetti. Otomatik yükleyicinin bir yazılım paketini doğrulaması ile gerçek yükleme süreci arasında, bir saldırganın güncellemeye kötü niyetli kod eklemesine olanak tanıyan bir zaman dilimi bulunduğunu ortaya koydu.
Yükleme amacıyla indirilen bir paket, görünüşe göre herhangi bir kullanıcının değişiklik yapmasına izin verirken, orijinal okuma-yazma izinlerini koruyabilmektedir. Bu durum, root erişimi olmayan kullanıcıların dahi içerikleri kötü niyetli kodla değiştirebilmesi ve hedef cihazın kontrolünü ele geçirmesi anlamına geliyor. Şirket, The Verge’e yaptığı açıklamada, Wardle’ın keşfettiği yeni güvenlik açığı için bir yamanın üzerinde çalışıldığını belirtti.
Wired’ın vurguladığı üzere, saldırganların bu açıkları istismar edebilmesi için bir kullanıcının cihazına mevcut erişime sahip olmaları gerekmektedir. Çoğu insan için acil bir tehdit olmasa da, Zoom, kullanıcılarına uygulamanın en güncel sürümüne gelen güncellemeleri takip etmelerini şiddetle tavsiye ediyor.
