Deweloper wypuścił już łatkę rozwiązującą problem. Jednak ekspert ds. bezpieczeństwa tak uważa
Podatność została zgłoszona przez Patricka WardleWardle) na konferencji hakerskiej Def Con w Las Vegas. Powiedział, że podczas instalowania lub odinstalowywania Zooma na komputerach z macOS program prosi użytkownika o specjalne uprawnienia. Przy pierwszym uruchomieniu instalatora należy wprowadzić hasło do urządzenia, ale wtedy funkcja automatycznej aktualizacji stale działa w tle z uprawnieniami administratora.
Przy każdej aktualizacji program instaluje sięnowy pakiet poprzez weryfikację jego podpisu kryptograficznego Zoom. Jednak hakerzy mogli przesunąć aktualizatorowi dowolny plik o tej samej nazwie, co certyfikat podpisywania Zoom. Ale wcześniej atakujący musiał uzyskać dostęp do systemu docelowego, a następnie wykorzystać lukę, aby uzyskać wyższy poziom dostępu.
Wardle powiedział, że powiadomił o tym Zoomapodatności w grudniu 2021 r. Jednak aktualizacja, która miała to naprawić, zawierała błąd, który nadal umożliwiał hakerom uzyskanie dostępu do urządzeń użytkowników macOS. Wardle powiedział, że powiedział Zoomowi, jak rozwiązać problem, ale nadal nie zostało to zrobione. Sam Zoom powiedział The Verge, że są świadomi luki w zabezpieczeniach i „ciężko pracują, aby ją naprawić”.