Zoom connaît actuellement un regain de popularité en raison de la pandémie mondiale de coronavirus en cours, qui force l’apparition de nombreuses situations de travail à domicile.
Mais, avec beaucoup plus d’utilisateurs utilisant soudainement le service, il y a eu beaucoup plus d’attention portée au service de vidéoconférence. Dans certains cas, l’entreprise peut élaborer des correctifs pour résoudre les problèmes découverts assez rapidement, et heureusement, c’est l’un de ces cas. Comme l’a rapporté jeudiLe bordZoom a rapidement corrigé son logiciel pour réparer son programme d’installation macOS, qui a été décrit comme utilisant “les mêmes astuces que celles utilisées par les logiciels malveillants macOS”, qui contournent efficacement les restrictions du système d’exploitation d’Apple.
Selon l’ingénieur logiciel Felix Seele, qui découvert le problème plus tôt cette semaine, l’application Zoom était installée sans obtenir le consentement final de l’utilisateur final via une invite trompeuse qui automatise le processus d’installation. La découverte a finalement conduit le PDG de Zoom, Eric S. Yuan, à tweeter une réponse à ce sujet plus tôt cette semaine :
Merci pour votre avis! Nous avons mis en place pour équilibrer le nombre de clics compte tenu des limites de la technologie standard. Rejoindre une réunion depuis un Mac n’est pas facile, c’est pourquoi cette méthode est utilisée par Zoom et d’autres. Votre point est bien pris et nous continuerons à nous améliorer.
— Eric S. Yuan (@ericsyuan) 31 mars 2020
La mise à jour de l’application Zoom macOS modifie entièrement la méthode d’installation, nécessitant désormais le consentement direct et final de l’utilisateur final pour terminer le processus d’installation. Selon Seele, ce mouvement était un peu inattendu :
Ils ont complètement supprimé les éléments de préinstallation, vous devez donc maintenant cliquer sur le programme d’installation comme il se doit, explique Seele dans un message à Le bord. La fausse invite a également été supprimée afin que les utilisateurs doivent spécifiquement cliquer et installer Zoom.淚 dois dire que je suis impressionné, dit Seele. Je m’attendais à ce qu’ils changent peut-être la boîte de dialogue, mais comme l’aspect « ero-click » était si important pour eux, j’ai pensé qu’ils s’en tiendraient à l’astuce de préinstallation.
Il s’agit d’un revirement rapide sur un correctif, trois jours seulement après sa publication et deux jours après que le PDG de Zoom s’est prononcé sur la question. Le changement est bon, cependant, et donne aux utilisateurs plus de contrôle sur l’installation de l’application Zoom. Mais ce n’est pas le seul problème auquel Zoom est confronté, surtout pas sur les Mac.
Plus tôt cette semaine, nous avons signalé qu’une paire de nouveaux bogues peut non seulement donner à un attaquant un accès root complet à un Mac, mais aussi lui permettre de prendre en charge la webcam, le microphone de l’ordinateur et lui permettre également d’enregistrer l’écran. Et l’année dernière, nous avons signalé que Zoom avait une vulnérabilité majeure qui permettrait à un attaquant d’accéder à une webcam Mac. Zoom a dû publier une mise à jour pour résoudre le problème, mais Apple l’a fait également, car l’installation de l’application Zoom sur un Mac a également installé le serveur Web. Ainsi, même si l’application Zoom a été désinstallée après coup, la vulnérabilité était toujours présente.
Avec ce dernier cas, cependant, il est bon de voir un revirement rapide sur le patch. Utilisez-vous davantage Zoom ces jours-ci ?