Zoom wirbt mit End-zu-Ende-Verschlüsselung - die es nicht gibt

Sowohl auf der Webseite als auch im Security-Whitepaper bewirbt Zoom Ende-zu-Ende-Verschlüsselte Meetings, also den übertragenen Video- und Audioaufnahmen. Das klingt großartig, unterstützen doch die wenigsten Videokonferenztools eine Ende-zu-Ende-Verschlüsselung. Doch auf Nachfrage des Onlinemagazins The Intercept erklärte ein Zoom-Sprecher: "Derzeit ist es nicht möglich, die E2E-Verschlüsselung für Zoom-Videokonferenzen zu aktivieren. Zoom-Videokonferenzen verwenden eine Kombination aus TCP und UDP. TCP-Verbindungen werden über TLS hergestellt, und UDP-Verbindungen werden mit AES unter Verwendung eines über eine TLS-Verbindung ausgehandelten Schlüssels verschlüsselt."

Stellenmarkt
  1. Application Support Engineer (m/w/d) 3rd Party Applications
    ING Deutschland, Frankfurt, Nürnberg
  2. IT-Support-Mitarbeiter (m/w/d)
    Bisping & Bisping GmbH & Co. KG, Lauf an der Pegnitz
Detailsuche

"Wenn wir den Ausdruck Ende-zu-Ende verwenden, bezieht er sich auf die Verbindung, die von Zoom-Endpunkt zu Zoom-Endpunkt verschlüsselt wird", sagte der Zoom-Sprecher. Der Inhalt würde also zwischen den Zoom-Clients und der Zoom-Cloud verschlüsselt. Dabei handelt es sich jedoch um eine Transportverschlüsselung bis zum Server und eben nicht um eine Ende-zu-Ende-Verschlüsselung, bei der die übertragenen Inhalte zwischen den beiden Kommunikationspartnern verschlüsselt übertragen werden, ohne dass ein Mittelsmann wie die Zoom-Cloud die Daten einsehen kann. Insofern gaukelt Zoom dem Nutzer ein nicht vorhandenes Sicherheitsfeature vor. Nur bei der textbasierten Chatfunktion lasse sich tatsächlich eine Ende-zu-Ende-Verschlüsselung aktivieren, schreibt The Intercept.

Zoom leakt E-Mail-Adressen und Kontaktinformationen

Zoom gruppiert Kontakte mit der gleichen E-Mail-Domäne in einen Firmen-Ordner. Dort lassen sich die Arbeitskontakte mit E-Mail-Adresse und Foto einsehen, um direkt mit ihnen in Kontakt treten zu können. Das passiert allerdings nicht nur mit Kollegen und Firmen: So wurden dem Zoom-Nutzer Barend Gehrels 995 Kontakte in dem Ordner angezeigt.

Er hatte sich mit einer E-Mail-Adresse registriert, die er bei einem niederländischen Provider erhalten hatte. Unklar ist, wie weit das Problem verbreitet ist. Zoom filtert bekannte E-Mail-Anbieter wie Yahoo, Hotmail oder Gmail automatisch aus. "Zoom führt eine schwarze Liste von Domains und identifiziert regelmäßig proaktiv die hinzuzufügenden Domains", erklärte ein Zoom-Sprecher. Zudem könnten Anbieter ihre Domains selbst bei Zoom auf die schwarze Liste setzen lassen.

SpaceX und Nasa verbannen Zoom

Golem Akademie
  1. Microsoft Teams effizient nutzen
    19. November 2021, online
  2. Data Engineering mit Apache Spark
    29.-30. November 2021, online
  3. Masterclass: Data Science mit Pandas & Python
    22.-23. November 2021, online
Weitere IT-Trainings

Die Raumfahrfirma SpaceX hat ihren Mitarbeitern die Nutzung von Zoom wegen "erheblichen Datenschutz- und Sicherheitsbedenken" untersagt, zitiert die Nachrichtenagentur Reuters aus einer internen E-Mail. Demnach sei Zoom deaktiviert worden und die Mitarbeiter seien auf die "alternativen Kommunikationsmittel E-Mail, Text oder Telefon" verwiesen worden. Auch bei der Nasa darf Zoom nicht mehr verwendet werden, wie eine Sprecherin mitteilte.

Zuvor war bekanntgeworden, dass Zooms iOS-App heimlich Daten an Facebook weitergab. Die Zoom-Entwickler wollen davon nichts gewusst haben und entfernten die Funktion. Die Datenweitergabe wird von der New Yorker Generalstaatsanwältin untersucht, auch eine Sammelklage ist anhängig.

Neben den Datenschutzproblemen warnt selbst das FBI mittlerweile vor einem Phänomen, das Zoombombing genannt wird. Trolle übernehmen Zoom-Konferenzen, um Pornografie oder rassistische Beleidigungen zu verbreiten. Betroffen waren beispielsweise Zoom-Konferenzen, die für Vorlesungen, Schulunterricht oder Wahlkampfveranstaltungen eingerichtet wurden.

Nachtrag vom 2. April 2020, 12:30 Uhr

In einem Blogeintrag kündigte Zoom-CEO Eric S. Yuan an, sich in den nächsten 90 Tagen proaktiv um die Sicherheitsprobleme kümmern zu wollen. In dieser Zeit wolle Zoom keine neuen Funktionen entwickeln, sondern "alle Ressourcen auf unsere größten Vertrauens-, Sicherheits- und Datenschutzprobleme" konzentrieren. Auch ein Transparenzbericht, sowie ein Bug-Bounty-Programm sollen eingeführt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Homeoffice: Neue Sicherheitslücken in Zoom entdeckt
  1.  
  2. 1
  3. 2


trinkhorn 14. Apr 2020

Die Entscheidung wurde zentral im Konzern gefällt, nicht bei uns am Standort. Weiß ich...

quark2017 03. Apr 2020

Geil .... da verbockt der Hersteller was. Aber nee .... der ist nicht schuld. Schuld...

Peace Р03. Apr 2020

... am besten mit aufgehobenen Beschränkungen aufgrund von Corona? Ich habe Zoom schon...

quineloe 02. Apr 2020

Bei Teams funktionieren doch nicht mal die Sicherheitslücken richtig.



Aktuell auf der Startseite von Golem.de
Infiltration bei Apple TV+
Die Außerirdischen sind da!

Nach Foundation wartet Apple innerhalb kürzester Zeit gleich mit der nächsten Science-Fiction-Großproduktion auf. Diesmal landen die Aliens auf der Erde.
Eine Rezension von Peter Osteried

Infiltration bei Apple TV+: Die Außerirdischen sind da!
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Krypto: NRW versteigert beschlagnahmte Bitcoin
    Krypto
    NRW versteigert beschlagnahmte Bitcoin

    Nordrhein-Westfalen hat Bitcoin im achtstelligen Eurobereich beschlagnahmt und will diese jetzt loswerden - im Rahmen einer Auktion.

  3. Rust, Deepfake, Sony, Microsoft: Konsolen-Termin für Among Us, mehr Speicher für die Xbox
    Rust, Deepfake, Sony, Microsoft
    Konsolen-Termin für Among Us, mehr Speicher für die Xbox

    Sonst noch was? Was am 22. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • Dualsense PS5-Controller Weiß 57,99€ • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket • Docking-Station für Nintendo Switch 9,99€ • Alternate-Deals (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /