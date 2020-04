L’application de vidéoconférence Zoom a mis à jour son programme d’installation de macOS, supprimant le processus d’installation décrit comme “loufoque” pour lequel il avait récemment été critiqué.

Zoom a fait l’objet d’un examen minutieux pour son processus d’installation louche, qui utilise des solutions de contournement similaires qui sont souvent utilisées par les logiciels malveillants macOS.

L’application Zoom a pu être installée sur un Mac sans le consentement final de l’utilisateur, comme l’a découvert l’ingénieur logiciel Felix Seele.

Vous êtes-vous déjà demandé comment le programme d’installation de macOS @zoom_us fonctionne sans que vous ayez à cliquer sur installer? Il s’avère qu’ils (ab) utilisent des scripts de préinstallation, décompressent manuellement l’application à l’aide d’un 7zip fourni et l’installent dans / Applications si l’utilisateur actuel est dans le groupe admin (aucune racine n’est requise). pic.twitter.com/qgQ1XdU11M

Le PDG de Zoom a répondu, disant que l’installateur était censé simplifier le processus, car de nombreux nouveaux utilisateurs pourraient ne pas pouvoir rejoindre une réunion sans les exploits rapidement. La société a noté que depuis le déclenchement de la pandémie de COVID-19, ils sont passés de 10 millions d’utilisateurs quotidiens à plus de 200 millions d’utilisateurs quotidiens.

Malgré le raisonnement de l’entreprise, les réactions du public ont été intenses. Jeudi, Zoom a publié une nouvelle mise à jour, remplaçant l’installateur “louche” par un plus traditionnel.

“Ils ont complètement supprimé les éléments de préinstallation, vous devez donc maintenant cliquer sur le programme d’installation comme il se doit”, explique Seele dans un message à The Verge. La fausse invite a également été supprimée afin que les utilisateurs doivent spécifiquement cliquer sur et installer Zoom. “Je dois dire que je suis impressionné”, explique Seele. “Je m’attendais à ce qu’ils changent peut-être la boîte de dialogue, mais comme l’aspect” zéro clic “était si important pour eux, je pensais qu’ils s’en tiendraient au tour de préinstallation.”

La société a déclaré qu’elle subirait un gel des fonctionnalités et du développement de 90 jours pour travailler sur les problèmes de sécurité et résoudre les problèmes existants.

La vague de plaintes la plus récente a commencé lorsqu’il a été découvert que la société envoyait des données utilisateur à Facebook sans leur autorisation. Zoom a informé Facebook de l’ouverture de l’application iOS, de l’appareil utilisé par un utilisateur, de son opérateur et de la ville et du fuseau horaire à partir desquels il se connecte. Les données comprenaient une balise d’annonceur unique, connectée à l’appareil d’un utilisateur, que les entreprises utilisent pour cibler les publicités.

Zoom avait déclaré publiquement aux médias que les informations avaient été rendues anonymes, mais avait compris pourquoi les utilisateurs étaient contrariés. La société a supprimé la capacité de l’application d’envoyer des données à Facebook dans une mise à jour publiée le 27 mars.

Peu de temps après, les experts en sécurité ont découvert que Zoom était capable de s’installer sur les Mac en contournant les fonctionnalités de sécurité d’Apple. Il a été découvert simultanément que la société avait revendiqué le service de cryptage de bout en bout mais ne possédait pas ces fonctionnalités.

Le 1er avril, il a été découvert qu’une faille dans le logiciel Zoom permettait à un utilisateur local ou à un logiciel malveillant de se superposer aux autorisations de la caméra et du microphone de Zoom. Un attaquant peut injecter du code malveillant dans l’espace de traitement de Zoom et “hériter” des autorisations de caméra et de microphone, leur permettant de les détourner à l’insu de l’utilisateur.

En 2019, un chercheur en sécurité a découvert une vulnérabilité de jour zéro dans l’application qui aurait pu permettre à des sites Web malveillants d’activer et de visualiser une webcam Mac à l’insu des utilisateurs.