Zoom несколько месяцев игнорировала сообщения об уязвимостях в ее сервисе

Разработчики сервиса видеоконференций Zoom несколько месяцев знали о существовании опасных уязвимостей в своем продукте, однако не спешили их исправлять.

Как сообщила газета The New York Times, проблемы были обнаружены участниками хакатона HackerOne Singapore, организованного компанией Dropbox в начале 2019 года, но Zoom выпустила исправления для них только в середине лета. В ходе соревнования программистов были обнаружены уязвимости в ПО Zoom, эксплуатация которых позволяла злоумышленнику перехватить контроль над некоторыми устройствами под управлением macOS.

После этого Dropbox сообщила о находках специалистов руководству Zoom, но компания проигнорировала предупреждения и исправила проблемы лишь спустя три месяца и только после того, как другие ИБ-эксперты указали на подобные проблемы в программном обеспечении.

Сервис Zoom после начала пандемии коронавирусной инфекции начал быстро набирать популярность. Одновременно с этим в сервисе было обнаружено множество проблем, уязвимостей и масштабных утечек данных пользователей. Например, одна из уязвимостей в приложении позволяла злоумышленникам без приглашения присоединяться к чужим разговорам и получать доступ ко всем данным и файлам, которыми обменивались участники. Эксплуатация другой проблемы в клиенте Zoom для Windows позволяла внедрять UNC-пути в функцию чата с целью похищения учетных данных пользователей Windows.