Windows판 「Zoom」에 정보가 도난당하는 취약성을 사과해 수정 발표
클라우드형 화상회의 서비스 「Zoom」의 Windows판에 있어서,클라이언트 로그인 정보 등이 도난당할 수 있는 취약점가 있다는 것을 미국의 정보 사이트 「Bleeping Computer」가 보도했습니다.
‘Zoom’을 운영하는 ‘Zoom Video Communications’의 에릭 유안 CEO는 미국 현지 시간 2020년 4월 2일 지적된 일련의 문제에 대해 사과하고,Windows 자격 증명이 도용되는 취약점 수정한 것을 발표했습니다.
그리고 지난 90일간은 새로운 기능을 추가하지 않고 문제 수정에 전념하고 투명성 보고서도 공개할 것을 약속하고 있습니다.
We appreciate the scrutiny and questions we have been getting – about how the service works, about our infrastructure and capacity, and about our privacy and security policies. These are the questions that will make Zoom better (Blog Post) https://t. co/tDcWxRIF2V by @ericsyuan
— Zoom (@zoom_us) April 2, 2020
이번 문제가 된 취약성이란 「Zoom」이 서비스 내에서 이용하고 있다URL 문자열을 하이퍼링크로 변환하는 기능관련입니다. 이 기능 덕분에 사용자는 URL을 클릭하면 바로 액세스할 수 있습니다.
“Zoom”의 Windows 버전에서는 UNC (Universal Naming Convention) 경로를 클릭하면 사용자의 로그인 이름과 NTLM (NT LAN Manager authentication) 인증의 암호 해시를 사용하여 링크 대상을 열려고합니다.
즉 Windows판 「Zoom」에 있어서, URL 뿐만이 아니라 UNC(「C:\Users\Public」와 같이 드라이브의 위치를 지정하는 패스)도 하이퍼링크로 변환해 버립니다.
사용자가 하이퍼링크를 클릭하고 Windows가 파일에 액세스하려고 하는 과정에서 PC의 사용자 이름과 비밀번호의 해시가 원격지에서 보이기 때문에,악의적인 공격자는 Windows 자격 증명 등을 훔친다.할 수 있습니다.
보안 전문가들은 이번 취약점을 해결하기 위해 UNC를 하이퍼링크로 변환할 수 없도록 해야 한다고 지적했습니다.
「Zoom」은 급격히 늘어난 이용자에게 대응하면서 서비스를 제공하고 있어, 이번 프라이버시나 보안에 대한 대책이 수반되지 않았던 것을 사과해, 향후 서비스를 수정해 개선해 나가겠다고 합니다.
이번 지적된 문제에이미 수정한 점는 다음 부분입니다.
| iOS 앱의 Facebook SDK를 삭제하고 불필요한 기기 정보 수집 중단 |
| Mac 앱 취약점 수정 |
| Windows 앱에서 UNC 링크를 하이퍼링크로 만드는 문제 수정 |
| 회의실을 탈취하는 ‘Zoom-bombing’에 대처법 공개 |
| 교육기관 사용자 가이드 및 개인정보취급방침 공개 |
| ‘LinkedIn Sales Navigator’ 앱 삭제 |
| 참석자의 추천 추적기 기능 삭제 |
