Бывший сотрудник Агентства национальной безопасности США Патрик Уордл опубликовал информацию о двух ранее неизвестных уязвимостях видеомессенджера Zoom.

Специалист обнаружил, что злоумышленник может внедрить в программу установки Zoom код для получения прав суперпользователя (root). После этого открывается доступ к запуску любого вредоносного или шпионского ПО.

Ещё одна ошибка позволяет запускать внутри Zoom программный код, который даёт доступ к веб-камере и микрофону Mac. Вредоносный код унаследует разрешение на использование этих записывающих устройств, которое имеет мессенджер. Всё это производится без уведомления пользователя и внешних признаков.

Если вы заботитесь о своей безопасности и конфиденциальности, возможно, вам стоит прекратить пользоваться Zoom, — Патрик Уордл

Для эксплуатации уязвимостей необходим физический доступ злоумышленника к компьютеру для установки необходимого ПО. Представители Zoom не ответили на запросы журналистов касательно предоставленной Уордлом информации.

Это не первая критическая проблема безопасности Zoom: в июне 2019 года стало известно, что любой вредоносный веб-сайт может включать веб-камеру без разрешения.

В последние несколько недель популярность Zoom, как и других сервисов для видеоконференций, переживает бурный рост: люди по всему миру переходят на удалённую работу из-за пандемии коронавируса, поэтому активнее пользуются продуктами для связи по сети.