約1週間前、Appleはビデオ会議アプリ「Zoom」に関連する二次的かつ潜在的に危険なソフトウェアに対処するため、macOSにひっそりとアップデートをリリースせざるを得ませんでした。そして今、同社はZoomのパートナーアプリにも同様のアップデートを実施しています。
The Vergeによると 、Appleは現在、Zoomアプリに関連して最初に発見された安全でないソフトウェアを修正したMac向けアップデートをひっそりとリリースしているとのこと。しかし、Zoomのパートナーアプリ、具体的にはZhumuとRingCentral(他の2つのビデオ会議アプリ)にも、この安全でないソフトウェアの問題があるようです。
RingCentralとZhumuはどちらも、Zoomの技術を利用して独自のアプリを展開しています。つまり、どちらのアプリもZoomと同じソフトウェアをインストールしており、その中には、一部のウェブサイトからのコマンドを受け取り、コンピューターのウェブカメラだけでなくマイクも乗っ取ることができる二次的なソフトウェアが含まれています。
Zoom、RingCentral、Zhumuをアンインストールしても、専用ウェブサーバーという二次的なソフトウェアは削除されません。つまり、アプリをアンインストールしたユーザーもソフトウェアが削除されず、依然としてリスクにさらされることになります。さらに悪いことに、Zoom、Zhumu、RingCentralは、アプリをアンインストールしたユーザーに直接問題を修正するアップデートを配信することができません。
つまり、Apple が介入せざるを得なかったということだ。同社は今月初めに介入し、今回も介入している。今回は、Zhumu と RingCentral のケースで二次的なソフトウェアを削除することを目指している。
AppleはZoomのパートナーアプリすべてでこの問題を修正する予定。
問題の根底にあるのは、AppleがSafariに実施したセキュリティアップデートを回避するためにZoomがビデオ会議ソフトウェアに加えた変更です。Safariは最近アップデートされ、サードパーティ製アプリを開くたびにユーザーの承認が必要になりました。Zoomはユーザーにこの余計なクリックを強いる手間を省きたいと考えました。そのため、Zoom会議を開くための通話をリッスンするウェブサーバーのインストールが必要になりました。さらに、Zoomユーザーが通話参加時にビデオをオンにする設定をデフォルト設定にしておくのが一般的かつ容易だったため、iframeを使った悪意のあるウェブサイトがMacでカメラがオンになった状態でビデオ通話を開始することが可能になりました。
この問題を修正したmacOSの最新サイレントアップデートが本日リリースされます。問題となっているアプリをインストール・アンインストール済みの場合は、まもなく修正されるはずです。
