Videokonferenz-App Zoom: Mit Sicherheit unsicher!

Meldung von doelf, Freitag der 03.04.2020, 00:00:13 Uhr

Dieser Tage ist die App Zoom ein beliebter Notnagel, um schnell und unkompliziert Videokonferenzen abzuhalten, sich im Home-Office mit Firmenleitung und Team zu besprechen oder um Unterricht für Schüler und Studenten zu ermöglichen. In Hinblick auf Datenschutz und Sicherheit war und ist Zoom allerdings eine ziemliche Katastrophe, da grundlegende Sicherheitsregeln offenbar systematisch ignoriert wurden. Zooms Liste peinlicher FAILs wird jedenfalls immer länger.

Die App wird vom US-Unternehmen Zoom Video Communications mit Sitz im kalifornischen San Jose veröffentlicht. Mit 49 Teilnehmern pro Bildschirm und bis zu 1.000 Teilnehmern insgesamt bietet sich Zoom für eine breite Palette von Nutzungen an. Ursprünglich richtete sich das Angebot an Firmenkunden, doch in Zeiten von COVID-19 kann praktisch jeder eine unkomplizierte Kommunikationssoftware gebrauchen. Leider scheint Firmenchef Eric Yuan seinen Laden nicht allzu gut im Griff zu haben bzw. die falschen Prioritäten zu setzen. Die Punkte Datenschutz und Sicherheit wurden jedenfalls weitgehend ignoriert.

macOS: Webseiten können ohne Zustimmung auf die Kamera zugreifen
Am 8. Juli 2019 hatte der Sicherheitsexperte Jonathan Leitschuh eine völlig triviale Möglichkeit entdeckt, wie jede beliebige Webseite die Kamera ohne Zustimmung des Benutzers aktivieren konnte. Als Einfallstor diente ihm der Zoom-Client für macOS. Apple reagierte damals recht ungehalten und entfernte die löchrige Komponente kurzerhand per Malware Removal Tool (MRT). So hart hatte Apple weder zuvor noch danach gegen eine App durchgegriffen. Aufgrund des massiven Drucks wurde die Schwachstelle schnell beseitigt.
Mehr zum Thema...

Nicht dokumentierte Datenweitergabe an Facebook beim App-Start
Am 26. März 2020 berichtete Motherboard, dass die Zoom-App beim Aufruf etliche Daten an Facebook übermittelt. Dazu gehören das verwendete Gerät nebst Zeitzone, Position und eine eindeutigen Werbe-ID sowie der genutzte Mobilfunkanbieter. Besonders pikant: Zoom hatte in seinen Nutzungsbedingungen und Datenschutzhinweisen nicht auf diese Datenweitergabe hingewiesen und führte sie auf für Nutzer durch, die Facebook gar nicht verwenden. In aktuellen Versionen der App wurde die Datenweitergabe abgestellt.
Mehr zum Thema...

Per Chat: Windows-Login abgreifen und Kommandos ausführen
Ebenfalls am 26. März 2020 erklärte der Hacker Mitch (g0dmode) auf Twitter, wie leicht man Windows-Systeme über Zoom angreifen kann: Man rät einfach die neunstellige Nummer einer Zoom-Konferenz und kann, wenn diese nicht weiter abgesichert ist, den anderen Teilnehmern Nachrichten schicken. Beginnt eine Nacht mit zwei Backslashes \\, wird der Text automatisch in einen anklickbaren Link verwandelt. Beim Klick übermittelt das Opfer dann seinen Windows-Benutzernamen samt Passwort-Hash an den im Link definierten Zielserver. Ist das Passwort zu simpel gestrickt, lässt sich ein solcher Hash knacken. Alternativ kann der Angreifer auch ausführbare Kommandos in den Link packen, die dann vom lokalen Rechner verarbeitet werden. In der aktuellen Zoom-Version wurde diese Sicherheitslücke gestopft.
Mehr zum Thema...

macOS: Extrem fragwürdiges Installationsverhalten
Am 30. März 2020 berichtete der Sicherheitsforscher Felix Seele, dass sich Zoom auf macOS mit ziemlich abstrusen Tricks installiert. Normalerweise muss der Benutzer eine Installation mit seinem Klick auf die Schaltfläche Install bestätigen, doch Zoom missbraucht Preinstallation-Skripte sowie eine mitgelieferte Version von 7zip, um das Programm in den Applikationsordner zu befördern. Dabei verschafft sich der Installer auch Root-Rechte ohne jegliche Warnung.
Mehr zum Thema...

macOS: Dank Installer gibt es Root-Rechte für jedermann
Nach Seeles Entdeckungen wagte der Sicherheitsexperte Patrick Wardle einen näheren Blick und wurde schnell fündig: Zoom nutzt die von Apple als veraltet und unsicher gekennzeichnete Programmierschnittstelle AuthorizationExecuteWithPrivileges und öffnet damit eine zuverlässige und simpel zu nutzende Möglichkeit zur Rechteausweitung auf die Root-Ebene. Denn das verantwortliche Skript namens runwithroot wird aus einem temporären Ordner ausgeführt, auf den jeder einfache Benutzer Schreibzugriff hat.
Mehr zum Thema...

macOS: Zugriff auf Kamera und Mikrofon für Schadcode
Doch Wardle fand noch mehr Fehler: Der Zugriff auf Kamera und Mikrofon ist unter macOS beschränkt und wird nur nach Zustimmung des Benutzers erteilt. Dummerweise kann man der Zoom-App Schadcode über manipulierte Bibliotheken unterjubeln, welcher dann auf Kamera und Mikrofon zugreifen kann. Dieser Zugriff ist jederzeit möglich und der Benutzer wird hierüber auch nicht informiert. Die von Apple empfohlenen Schutzmaßnahmen hinsichtlich Hardened Runtime scheint bei Zoom jedenfalls niemand gelesen zu haben.
Mehr zum Thema...

Keine Ende-zu-Ende-Verschlüsselung
Auf seiner Webseite sprach und spricht Zoom von der Möglichkeit einer Ende-zu-Ende-Verschlüsselung. Doch The Intercept deckte am 31. März 2020 auf, dass dies nur leere Marketing-Sprüche sind. Tatsächlich kommt lediglich die normale Transportverschlüsselung TLS (Transport Layer Security) zum Einsatz. Während dies für eine Unterrichtsstunde eher von untergeordneter Bedeutung ist, sollte man Firmengeheimnisse lieber nicht über Zoom besprechen. Zoom hat dies zwischenzeitlich eingestanden und spricht von Missverständnissen.

Unsere Einschätzung
Sicherheitslücken gibt es praktisch in jeder Software, doch viele der hier beschriebenen Fehler lassen auf absichtliche Kundentäuschung, eine schlampige Programmierung und fehlende Qualitätskontrollen schließen. Würden wir Zoom jetzt einsetzen? Bestimmt nicht! Firmenchef Eric Yuan ist derzeit um Schadensbegrenzung bemüht und hat ein unabhängiges Audit seiner Software in Aussicht gestellt. Diese Überprüfung sollte man abwarten und in der Zwischenzeit andere Lösungen einsetzen.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]