Birçoğumuz Orada bulundum: Zaten geç kaldığınız bir toplantıya katılmak için acele ederken Zoom uygulamasını çalıştırıyorsunuz ve güncellemeleri indirmeniz isteniyor. Başınıza böyle bir şey geldiyse Zoom’un otomatik güncelleme özelliğine kayıt oldunuz.
Zoom’un Windows ve Mac masaüstü uygulamaları için Kasım 2021’de mevcut haliyle başlatılan özellik, kullanıcıların yazılım yamalarına ayak uydurmasına yardımcı olmayı amaçlıyor. Özelliği ilk kurduğunuzda sistem şifrenizi girersiniz, Zoom’a yamaları yükleme izni verirsiniz, ardından bir daha asla girmeniz gerekmez. Kolay. Ancak bu özelliği fark ettikten sonra, uzun süredir Mac güvenlik araştırmacısı Patrick Wardle, bunun biraz fazla kolay olup olmadığını merak etti.
Bugün Las Vegas’taki DefCon güvenlik konferansında Wardle, otomatik güncelleme özelliğinin güncellemeler için doğrulama kontrollerinde bulduğu iki güvenlik açığını sundu. Halihazırda hedef Mac’e erişimi olan bir saldırgan için, güvenlik açıkları zincirlenmiş ve saldırgana kurbanın makinesinin tam denetimini vermek için istismar edilmiş olabilir. Zoom zaten her iki güvenlik açığı için de düzeltmeler yayınladı, ancak Cuma günü sahnede Wardle, henüz Zoom’a açıklamadığı ve saldırı vektörünü yeniden açan ek bir güvenlik açığı keşfettiğini duyurdu.
“Bunu tam olarak nasıl ayarladıklarını merak ettim. Ve bir göz attığımda, ilk geçişte işleri güvenli bir şekilde yapıyorlarmış gibi görünüyordu – doğru fikirleri vardı,” dedi Wardle, konuşmasının öncesinde WIRED’e. “Ama daha yakından baktığımda, kodun kalitesi daha şüpheliydi ve hiç kimsenin yeterince derinlemesine denetlemediği ortaya çıktı.”
Kullanıcı parolasını bir kez girdikten sonra güncellemeleri otomatik olarak yüklemek için Zoom, Wardle’ın geliştirmede yaygın olarak kullanıldığını söylediği standart bir macOS yardımcı aracı yükler. Şirket, mekanizmayı yalnızca Zoom uygulamasının yardımcıyla konuşabilmesi için kurdu. Bu şekilde, başka hiç kimse bağlantı kuramaz ve bir şeylerle uğraşamaz. Bu özellik ayrıca, teslim edilen güncellemelerin bütünlüğünü doğrulamak için bir imza kontrolü yapmak üzere ayarlandı ve özellikle yazılımın Zoom’un yeni bir sürümü olup olmadığını kontrol etti, böylece bilgisayar korsanları uygulamayı kandırarak bir “düşürme saldırısı” başlatamadı. Zoom’un eski ve savunmasız bir sürümünü yüklemek için.
Wardle’ın bulduğu ilk güvenlik açığı, kriptografik imza kontrolündeydi. (Yazılımın bütünlüğünü ve kaynağını doğrulamak için yapılan bir tür mum mühür kontrolü.) Wardle, geçmiş araştırmalarından ve kendi yazılım geliştirmesinden, Zoom’un ayarladığı koşul türlerinde imzaları gerçekten doğrulamanın zor olabileceğini biliyordu. Sonunda, Zoom’un çekinin mağlup edilebileceğini fark etti. Yasal bir belgeyi dikkatlice imzaladığınızı ve ardından kız kardeşiniz için daha rahat bir şekilde imzaladığınız doğum günü kartının yanındaki bir kağıt parçasını masaya yüzü aşağı bakacak şekilde koyduğunuzu hayal edin. Zoom’un imza kontrolü aslında imzanın doğru belgede doğru yerde olup olmadığını kontrol etmek yerine masadaki her şeye bakmak ve rastgele doğum günü kartı imzasını kabul etmekti. Başka bir deyişle, Wardle, gizlice girmeye çalıştığı yazılımın adını, Zoom’un genel olarak aradığı işaretçileri içerecek şekilde değiştirebileceğini ve kötü amaçlı paketi Zoom’un imza kontrolünden geçirebileceğini buldu.