Web会議サービスZoomに複数の脆弱性あると指摘、暗号化へ懸念の声も

　Anonymous Coward曰く、

　新型コロナウイルスの感染拡大による外出自粛を受けて、オンラインでのミーティングを行えるビデオチャットサービスが注目されている。その1つに「Zoom」があるが、このZoomに対しセキュリティ面での懸念の声が出ている。

　その1つに、通信内容の暗号化に関するものがある。Zoomの公式サイトには、すべてのミーティングはエンドツーエンド（E2E）で暗号化されると明示されているものの、The Interceptによると、実際にはエンドツーエンドでの暗号化は行われていないという（ITmedia、Slashdot）。

　エンドツーエンド暗号化の定義としては、暗号化された情報を復号できる鍵は利用者（クライアント）のみが所有することになっている。しかし、Zoomのビデオ会議はTCP接続ではTLSを使い、UDP接続ではTLS接続でネゴシエートされたキーを使ってAESで暗号化していると答えた。これではエンドツーエンド暗号化の要件には当てはまらないことになる。

　また、これ以外にもWindows版のクライアントには悪意のあるリンクをチャット画面に送信することで接続情報を奪うことができるという脆弱性が存在するという話や（Business Insider）、Mac版クライアントでは攻撃者が外部から管理者権限を取得できる脆弱性や、利用者の同意なしにカメラやマイクへのアクセス権を取得できるという脆弱性も存在するという（TechCrunch、ITmediaの別記事）。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | ソフトウェア | インターネット | 情報漏洩

　関連ストーリー：
オンライン会議アプリ「ZOOM」、Facebookにデータを無断で送信しているとの指摘を受けコードを変更 2020年03月31日
iOSでVPN利用時、一部の通信がVPNをバイパスする脆弱性 2020年03月29日
Microsoft、Windowsの未修正脆弱性を公表 2020年03月27日