Felix Seele på säkerhetsfirman Vmray uppmärksammade tidigare i veckan att Zoom, det just nu väldigt populära videokonferensprogrammet, använder skumma knep för att ta sig runt det normala beteendet för installationsprogram i Mac OS.

I vad som verkar vara ett försök att dra ner på antalet dialogrutor användaren måste klicka sig förbi använder Zoom skript för att först packa upp sina komponenter och sedan placera dem på rätt ställe på disken. Om användaren är admin behövs inget lösenord, trots att det normalt krävs, och om den inte är admin visas en dialogruta som säger att ”System need your privilege to change” (inklusive ett skrivfel).

Det är samma slags slughet som skadeprogram brukar använda, även om det i det här fallet inte gör något som i sig är skadligt.

Upptäckten fick säkerhetsforskaren Patrick Wardle att ta en djupare titt på Zoom, och han har upptäckt två allvarliga säkerhetsbrister.

Felix Seeles upptäckt av hur Zoom ber om adminrättigheter för användare som inte är administratörer ledde Patrick Wardle till den första bristen. Skriptet som Zoom kör skaffar sig inte bara admin- utan root-behörighet via ett kommando som Apple för länge sedan började avråda utvecklare från att använda.

En illasinnad person med tillgång till ett standardkonto på datorn kan nämligen lura sig till root-behörighet genom att åka snålskjuts på Zooms installationsskript. Det skulle kunna utnyttjas för att skapa ett skadeprogram som ligger i träda tills den dag då användaren inte ont anande laddar ner Zoom och kör installationsprogrammet, varpå skadeprogrammet får full kontroll över Macen.

Säkerhetsbrist nummer två gör det möjligt för andra processer att ”låna” Zooms tillgång till Macens kamera och mikrofon. Zoom har nämligen gett sig själv ett undantag från Mac OS normala regler för laddning av kodbibliotek. Istället för att bara kunna ladda systembibliotek och bibliotek från samma utvecklare kan Zoom ladda vilka bibliotek som helst.

Det gör det möjligt för en hackare att gå in och ersätta ett av Zooms inbyggda bibliotek med skadlig kod. Till exempel kod som spelar in video och ljud. Om användaren har gett Zoom tillgång till kamera och mikrofon får även det skadliga biblioteket det.

Ingen av de här bristerna kan utnyttjas direkt över internet, men båda visar att Zooms utvecklare tar osäkra genvägar och inte drar sig för att ignorera Apples varningar.

Förra året upptäcktes en betydligt allvarligare brist i Zoom för Mac. Då handlade det om en webbserver programmet installerade och som inte togs bort eller stoppades även om användaren avinstallerade Zoom. Apple raderade den via Mac OS inbyggda skadeprogramsskydd.