• IT-Karriere:
  • Services:

Zoom wirbt mit End-zu-Ende-Verschlüsselung - die es nicht gibt

Sowohl auf der Webseite als auch im Security-Whitepaper bewirbt Zoom Ende-zu-Ende-Verschlüsselte Meetings, also den übertragenen Video- und Audioaufnahmen. Das klingt großartig, unterstützen doch die wenigsten Videokonferenztools eine Ende-zu-Ende-Verschlüsselung. Doch auf Nachfrage des Onlinemagazins The Intercept erklärte ein Zoom-Sprecher: "Derzeit ist es nicht möglich, die E2E-Verschlüsselung für Zoom-Videokonferenzen zu aktivieren. Zoom-Videokonferenzen verwenden eine Kombination aus TCP und UDP. TCP-Verbindungen werden über TLS hergestellt, und UDP-Verbindungen werden mit AES unter Verwendung eines über eine TLS-Verbindung ausgehandelten Schlüssels verschlüsselt."

Stellenmarkt
  1. Deutscher Akademischer Austauschdienst e.V. (DAAD), Bonn
  2. Josef Heuel GmbH, Meinerzhagen

"Wenn wir den Ausdruck Ende-zu-Ende verwenden, bezieht er sich auf die Verbindung, die von Zoom-Endpunkt zu Zoom-Endpunkt verschlüsselt wird", sagte der Zoom-Sprecher. Der Inhalt würde also zwischen den Zoom-Clients und der Zoom-Cloud verschlüsselt. Dabei handelt es sich jedoch um eine Transportverschlüsselung bis zum Server und eben nicht um eine Ende-zu-Ende-Verschlüsselung, bei der die übertragenen Inhalte zwischen den beiden Kommunikationspartnern verschlüsselt übertragen werden, ohne dass ein Mittelsmann wie die Zoom-Cloud die Daten einsehen kann. Insofern gaukelt Zoom dem Nutzer ein nicht vorhandenes Sicherheitsfeature vor. Nur bei der textbasierten Chatfunktion lasse sich tatsächlich eine Ende-zu-Ende-Verschlüsselung aktivieren, schreibt The Intercept.

Zoom leakt E-Mail-Adressen und Kontaktinformationen

Zoom gruppiert Kontakte mit der gleichen E-Mail-Domäne in einen Firmen-Ordner. Dort lassen sich die Arbeitskontakte mit E-Mail-Adresse und Foto einsehen, um direkt mit ihnen in Kontakt treten zu können. Das passiert allerdings nicht nur mit Kollegen und Firmen: So wurden dem Zoom-Nutzer Barend Gehrels 995 Kontakte in dem Ordner angezeigt.

Er hatte sich mit einer E-Mail-Adresse registriert, die er bei einem niederländischen Provider erhalten hatte. Unklar ist, wie weit das Problem verbreitet ist. Zoom filtert bekannte E-Mail-Anbieter wie Yahoo, Hotmail oder Gmail automatisch aus. "Zoom führt eine schwarze Liste von Domains und identifiziert regelmäßig proaktiv die hinzuzufügenden Domains", erklärte ein Zoom-Sprecher. Zudem könnten Anbieter ihre Domains selbst bei Zoom auf die schwarze Liste setzen lassen.

SpaceX und Nasa verbannen Zoom

Die Raumfahrfirma SpaceX hat ihren Mitarbeitern die Nutzung von Zoom wegen "erheblichen Datenschutz- und Sicherheitsbedenken" untersagt, zitiert die Nachrichtenagentur Reuters aus einer internen E-Mail. Demnach sei Zoom deaktiviert worden und die Mitarbeiter seien auf die "alternativen Kommunikationsmittel E-Mail, Text oder Telefon" verwiesen worden. Auch bei der Nasa darf Zoom nicht mehr verwendet werden, wie eine Sprecherin mitteilte.

Zuvor war bekanntgeworden, dass Zooms iOS-App heimlich Daten an Facebook weitergab. Die Zoom-Entwickler wollen davon nichts gewusst haben und entfernten die Funktion. Die Datenweitergabe wird von der New Yorker Generalstaatsanwältin untersucht, auch eine Sammelklage ist anhängig.

Neben den Datenschutzproblemen warnt selbst das FBI mittlerweile vor einem Phänomen, das Zoombombing genannt wird. Trolle übernehmen Zoom-Konferenzen, um Pornografie oder rassistische Beleidigungen zu verbreiten. Betroffen waren beispielsweise Zoom-Konferenzen, die für Vorlesungen, Schulunterricht oder Wahlkampfveranstaltungen eingerichtet wurden.

Nachtrag vom 2. April 2020, 12:30 Uhr

In einem Blogeintrag kündigte Zoom-CEO Eric S. Yuan an, sich in den nächsten 90 Tagen proaktiv um die Sicherheitsprobleme kümmern zu wollen. In dieser Zeit wolle Zoom keine neuen Funktionen entwickeln, sondern "alle Ressourcen auf unsere größten Vertrauens-, Sicherheits- und Datenschutzprobleme" konzentrieren. Auch ein Transparenzbericht, sowie ein Bug-Bounty-Programm sollen eingeführt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Homeoffice: Neue Sicherheitslücken in Zoom entdeckt
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 19,99€
  2. 46,99€
  3. (-91%) 1,20€

trinkhorn 14. Apr 2020

Die Entscheidung wurde zentral im Konzern gefällt, nicht bei uns am Standort. Weiß ich...

quark2017 03. Apr 2020

Geil .... da verbockt der Hersteller was. Aber nee .... der ist nicht schuld. Schuld...

Peace Р03. Apr 2020

... am besten mit aufgehobenen Beschränkungen aufgrund von Corona? Ich habe Zoom schon...

quineloe 02. Apr 2020

Bei Teams funktionieren doch nicht mal die Sicherheitslücken richtig.


Folgen Sie uns
       


Zhaxoin ZX-U6780U - Fazit

Wir testen den ZX-U6780U von Zhaxoin, einen achtkernigen x86-Prozessor aus China, der im 16-nm-Verfahren gefertigt wird. Die x86-Lizenz stammt von Centaur, einer Tochter von Via Technologies.

Zhaxoin ZX-U6780U - Fazit Video aufrufen
Kumpan im Test: Aussehen von gestern, Technik von morgen
Kumpan im Test
Aussehen von gestern, Technik von morgen

Mit der Marke Kumpan Electric wollen drei Brüder aus Remagen den Markt für elektrische Roller erobern. Sie setzen auf den Look der deutschen Wirtschaftswunderjahre, wir haben ein Modell getestet.
Ein Praxistest von Dirk Kunde

  1. Venturi Wattman Rekordversuch mit elektrischem Motorrad mit Trockeneis
  2. Mobility Swapfiets testet Elektroroller im Abo
  3. Elektromobilität Volabo baut Niedrigspannungsmotor in Serie

Laravel/Telescope: Die Sicherheitslücke bei einer Bank, die es nicht gibt
Laravel/Telescope
Die Sicherheitslücke bei einer Bank, die es nicht gibt

Ein Leser hat uns auf eine Sicherheitslücke auf der Webseite einer Onlinebank hingewiesen. Die Lücke war echt und betrifft auch andere Seiten - die Bank jedoch scheint es nie gegeben zu haben.
Ein Bericht von Hanno Böck

  1. IT-Sicherheitsgesetz Regierung streicht Passagen zu Darknet und Passwörtern
  2. Callcenter Sicherheitsexperte hackt Microsoft-Betrüger
  3. Sicherheit "E-Mail ist das Fax von morgen"

Threefold: Die Idee vom dezentralen Peer-to-Peer-Internet
Threefold
Die Idee vom dezentralen Peer-to-Peer-Internet

Wie mit Blockchain, autonomem Ressourcenmanagement und verteilter Infrastruktur ein gerechteres Internet entstehen soll.
Von Boris Mayer

  1. Hamsterkäufe App soll per Blockchain Klopapiermangel vorbeugen

    •  /