毎日のニュースのまとめ:Macエクスプロイトはあなたの許可なしにウェブカメラをアクティブにします

公開: 2022-01-29

Mac用のZoomビデオ会議アプリには、開示にもかかわらず対処されていない重大な欠陥があります。 悪意のあるWebサイトにアクセスすると、悪意のある人物が許可なくカメラをアクティブ化する可能性があります。 Zoomをアンインストールした場合、悪意のあるサイトはユーザーの操作なしで再インストールできます。

セキュリティ研究者のJonathanLeitschuhは、Zoomには、リンクにアクセスするだけで自動参加してビデオセッションを開始できる機能があることに気づきました。 彼は、会社がどのようにしてこの偉業を確実に達成したのか疑問に思い、調査しました。 彼はすぐに、Zoomの方法がまったく安全ではないことに気づきました。

ZoomをMacにインストールすると、マシン上にWebサーバーが作成されます。 Webサーバーは、複数のレベルで問題があります。 いくつかのオプションで、Leitschuhは概念実証のWebサイトをまとめました。 ZoomをインストールしてそのWebサイトにアクセスすると、通話に自動的に参加し、リンクをクリックする前にZoomを閉じた場合でも、Webカメラがアクティブになります。

さらに悪いことに、ZoomをアンインストールしてもWebサーバーは削除されません。 Webサーバーは、Zoomを単独で再インストールすることもできます。 したがって、悪意のあるリンクにアクセスすると、Zoomを再インストールし、通話に参加し、Webカメラを起動することができます。これらはすべてユーザーからの操作なしで行われます。

広告

これはLeitschuhの概念実証でテストできますが、Zoomがインストールされている場合はカメラが起動し、サイトをテストしている他の人との通話に参加することになります。 Leitschuhは、90日間の開示猶予期間とともに、彼の調査結果をZoomに通知しました。 残念ながら、会社は問題を解決するために多くのことをしませんでした。

当初、同社はサポートする機能の一部としてすべてを一掃しました。 Zoomは最終的に、カメラの電源が入らないようにする軽度の修正を実装しましたが、悪意のある攻撃者がユーザーに通話への参加とZoomの再インストールを強制する可能性があります。 [中くらい]

ほかのニュースでは:

  • MicrosoftはAndroidに広告を忍び込んでいます: Microsoft Androidアプリがインストールされている場合、他のMicrosoftアプリの広告が表示される可能性があります。 しかし、アプリ自体の内部ではありません。 Microsoftは、Androidの共有メニューと開いているメニューに提案を挿入しています。 友人と写真を共有すると、インストールしていなくてもOneDriveが表示される場合があります。 OneDriveをタップすると、Playストアに移動します。 微妙でありながらグロス。 [Android警察]
  • Appleは新しいMacBookラインナップを発表しました: AppleはMacBookの世界で物事を揺さぶっています:MacBookモデルと非Touchbar MacBookProモデルはなくなりました。 しかし、彼らが去るとき、改善された画面を備えたより安価なMacBookAirが中心的な舞台になります。 これは、ここ数年で最も賢明なラインナップだと思います。 また、キーボードの問題が続いているため、とにかくMacBookの購入を待つ必要があると考えています。 [ReviewGeek]
  • マイクロソフトは、検出が困難なマルウェアについて警告を発しました。マイクロソフトは、発見を回避するために非常に高度な技術を使用して、アスタロトと呼ばれるマルウェアキャンペーンを発見しました。 Astarothは、Windows Management Instrumentationコマンドライン(WMIC)ツールなどのシステムツールを使用して、システムアクティビティ(Living in the Landテクニック)になりすますためのすべての作業を実行します。 また、ファイルを保存することはなく、完全にメモリ内で実行されます(ファイルレスメソッド)。 Astarothは、悪意のあるリンクを含むスパムメールで配信されるため、クリックする内容に注意してください。 [ZDNet]
  • 1000を超えるAndroidアプリが権限の選択を無視し、とにかく追跡します。セキュリティ研究者は、許可オプションを選択してそれを防ぐ場合でも、多くのAndroidアプリがあなたを追跡することを発見しました。 ほとんどは代替オプションを使用します。 たとえば、Shutterflyは写真のメタデータからGPS情報を取得します。 あるアプリから別のアプリにデータを共有することさえあります。 Android Qで問題を解決できるはずですが、Androidはタイムリーなアップデートで知られていません。 [9to5Google]
  • Instagramはいじめを止めたい: Instagramは、プラットフォームでのいじめを減らすように設計された新機能をテストしています。 1つ目は、コメントを投稿したい場合に、誹謗中傷や質問を書いていることを検出するAIプロセスです。 2つ目は、ユーザーがコメント投稿者をシャドウ禁止できるようにします。 シャドウバンは、投稿者以外のすべての人からのコメントを通知せずに隠します。 [インスタグラム]
  • Spotify Liteはより小さく、機能も少なくなっています。Android用のSpotifyの新しいLiteアプリは、サイズが10 MBと小さく、ストレージが限られているデバイスやインターネット速度が遅い国に最適です。 もちろん、サイズが小さいほど機能が少なくなります。 しかし、それでも最も重要な部分である音楽を手に入れることができます。それが本当に重要なことです。 現在、世界中の36の市場で利用可能ですが、米国はその1つではありません。 [Engadget]
  • グーグルはあなたがあなたのスタディアゲームを維持することができると言います:グーグルスタディアは信じられないほど興味をそそられます。 しかし、1つの質問(多くの質問があります)が大きく浮かび上がりました。ゲームパブリッシャーがStadiaのサポートを停止した場合はどうなりますか? あなたが費やしたお金にもかかわらず、あなたはゲームに負けますか? グーグルはFAQを更新しました、そしてそれはあなたが「予期しない状況を除いて」そのイベントであなたのゲームを保つことを約束します(すべての会社が小刻みに動く部屋を望んでいるので)。 【ザ・ヴァージ】
  • Microsoftの奇妙なツイートは、ストレンジャー・シングスの広告にすぎませんでした。Microsoftのツイートは最近「奇妙」であり、Windows1.0やその他の先祖返りを宣伝しています。 1985年への言及は、ストレンジャー・シングスとの提携(1985年に設定された番組)である可能性が高く、今ではテーマパックとWindows1.11アプリのダウンロードで確認されています。 醜いものが好きで、Paintが本当に好きなら、今すぐダウンロードしてください。 [Ars Technica]
  • YouTubeがFireTVに戻り、Prime VideoがChromecastのサポートを取得します。2つの会社がお互いの店舗での表現について争ったため、GoogleはFireTVからYouTubeを削除しました。 両社は平和を約束し、ようやく実現しつつあるようです。 これで、ほとんどのFireTVデバイスでYouTubeを見つけることができます(Echo Show用に保存してください)。 また、本日より、PrimeVideoはChromecastをサポートするようになります。 生きるのに何時でしょう。 [GeekWire]

関連: GoogleStadiaがゲーム業界を征服するために必要な3つのこと

タッチスクリーンは、ニーズに基づいて再構成する仮想ボタンを備えており、私たちの生活を一変させた素晴らしいテクノロジーです。 それはあなたが盲目でない限りです。 タッチスクリーンは、視覚を持たない人にとっては使いにくいテクノロジーです。ボタンには触覚がなく、ボタンを見つけてその使用法を判断するために必要です。

研究はそれと他の問題を解決したいと思っています。 彼らは、タッチスクリーンと相互作用して触覚を提供できる電子皮膚に取り組んでいます。 携帯電話の振動のように考えてください。ただし、指を動かす方向や押すのがどれだけ難しいかを感じることができる小さなスケールです。

アイデアは、指で感じることができるように技術を十分に薄く保ちながら、他の技術やあなたと相互作用できる回路を組み込むことです。 科学者たちは、一日の電子皮膚が義手にも感覚と触覚を加えることができることを望んでいます。 これが起こるまでにはまだ長い道のりがありますが、今ではそれは本当に可能であり、サイエンスフィクションの領域にあるものだけではないようです。 それは本当の進歩です。 [Phys.org]