• IT-Karriere:
  • Services:

Zoom wirbt mit End-zu-Ende-Verschlüsselung - die es nicht gibt

Sowohl auf der Webseite als auch im Security-Whitepaper bewirbt Zoom Ende-zu-Ende-Verschlüsselte Meetings, also den übertragenen Video- und Audioaufnahmen. Das klingt großartig, unterstützen doch die wenigsten Videokonferenztools eine Ende-zu-Ende-Verschlüsselung. Doch auf Nachfrage des Onlinemagazins The Intercept erklärte ein Zoom-Sprecher: "Derzeit ist es nicht möglich, die E2E-Verschlüsselung für Zoom-Videokonferenzen zu aktivieren. Zoom-Videokonferenzen verwenden eine Kombination aus TCP und UDP. TCP-Verbindungen werden über TLS hergestellt, und UDP-Verbindungen werden mit AES unter Verwendung eines über eine TLS-Verbindung ausgehandelten Schlüssels verschlüsselt."

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Düsseldorf, Mülheim an der Ruhr, Dortmund, Duisburg
  2. Versorgungseinrichtung der Bezirksärztekammer Koblenz, Koblenz

"Wenn wir den Ausdruck Ende-zu-Ende verwenden, bezieht er sich auf die Verbindung, die von Zoom-Endpunkt zu Zoom-Endpunkt verschlüsselt wird", sagte der Zoom-Sprecher. Der Inhalt würde also zwischen den Zoom-Clients und der Zoom-Cloud verschlüsselt. Dabei handelt es sich jedoch um eine Transportverschlüsselung bis zum Server und eben nicht um eine Ende-zu-Ende-Verschlüsselung, bei der die übertragenen Inhalte zwischen den beiden Kommunikationspartnern verschlüsselt übertragen werden, ohne dass ein Mittelsmann wie die Zoom-Cloud die Daten einsehen kann. Insofern gaukelt Zoom dem Nutzer ein nicht vorhandenes Sicherheitsfeature vor. Nur bei der textbasierten Chatfunktion lasse sich tatsächlich eine Ende-zu-Ende-Verschlüsselung aktivieren, schreibt The Intercept.

Zoom leakt E-Mail-Adressen und Kontaktinformationen

Zoom gruppiert Kontakte mit der gleichen E-Mail-Domäne in einen Firmen-Ordner. Dort lassen sich die Arbeitskontakte mit E-Mail-Adresse und Foto einsehen, um direkt mit ihnen in Kontakt treten zu können. Das passiert allerdings nicht nur mit Kollegen und Firmen: So wurden dem Zoom-Nutzer Barend Gehrels 995 Kontakte in dem Ordner angezeigt.

Er hatte sich mit einer E-Mail-Adresse registriert, die er bei einem niederländischen Provider erhalten hatte. Unklar ist, wie weit das Problem verbreitet ist. Zoom filtert bekannte E-Mail-Anbieter wie Yahoo, Hotmail oder Gmail automatisch aus. "Zoom führt eine schwarze Liste von Domains und identifiziert regelmäßig proaktiv die hinzuzufügenden Domains", erklärte ein Zoom-Sprecher. Zudem könnten Anbieter ihre Domains selbst bei Zoom auf die schwarze Liste setzen lassen.

SpaceX und Nasa verbannen Zoom

Die Raumfahrfirma SpaceX hat ihren Mitarbeitern die Nutzung von Zoom wegen "erheblichen Datenschutz- und Sicherheitsbedenken" untersagt, zitiert die Nachrichtenagentur Reuters aus einer internen E-Mail. Demnach sei Zoom deaktiviert worden und die Mitarbeiter seien auf die "alternativen Kommunikationsmittel E-Mail, Text oder Telefon" verwiesen worden. Auch bei der Nasa darf Zoom nicht mehr verwendet werden, wie eine Sprecherin mitteilte.

Zuvor war bekanntgeworden, dass Zooms iOS-App heimlich Daten an Facebook weitergab. Die Zoom-Entwickler wollen davon nichts gewusst haben und entfernten die Funktion. Die Datenweitergabe wird von der New Yorker Generalstaatsanwältin untersucht, auch eine Sammelklage ist anhängig.

Neben den Datenschutzproblemen warnt selbst das FBI mittlerweile vor einem Phänomen, das Zoombombing genannt wird. Trolle übernehmen Zoom-Konferenzen, um Pornografie oder rassistische Beleidigungen zu verbreiten. Betroffen waren beispielsweise Zoom-Konferenzen, die für Vorlesungen, Schulunterricht oder Wahlkampfveranstaltungen eingerichtet wurden.

Nachtrag vom 2. April 2020, 12:30 Uhr

In einem Blogeintrag kündigte Zoom-CEO Eric S. Yuan an, sich in den nächsten 90 Tagen proaktiv um die Sicherheitsprobleme kümmern zu wollen. In dieser Zeit wolle Zoom keine neuen Funktionen entwickeln, sondern "alle Ressourcen auf unsere größten Vertrauens-, Sicherheits- und Datenschutzprobleme" konzentrieren. Auch ein Transparenzbericht, sowie ein Bug-Bounty-Programm sollen eingeführt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Homeoffice: Neue Sicherheitslücken in Zoom entdeckt
  1.  
  2. 1
  3. 2
In eigener Sache: IT-Trainings zu Infrastruktur-, Development- und Security-Themen mit der Golem Akademie.
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Polestar 2 im Test
    Lädst du noch oder fährst du schon?
  2. Telekom-Chef
    Kabelnetz erreicht "nirgendwo ein Gigabit"
  3. Intergrade
    Square Enix macht Final Fantasy 7 Remake noch länger
  4. Game Freak
    Neue Pokémon-Abenteuer für Nintendo Switch angekündigt
  5. Notebook
    Beim Framework Laptop sind selbst die Anschlüsse tauschbar
Anzeige
Hardware-Angebote
  1. (u. a. XFX Radeon RX 6800 QICK319 BLACK Gaming 16GB für 949€)
  2. (u. a. Ryzen 5 5600X für 359€, Ryzen 7 5800X für 489€)
Kommentarübersicht
Re: Meetingteilnehmer überwachen
trinkhorn 14. Apr 2020

Die Entscheidung wurde zentral im Konzern gefällt, nicht bei uns am Standort. Weiß ich...

Re: Ziemliche Blamage für die Security-Community
quark2017 03. Apr 2020

Geil .... da verbockt der Hersteller was. Aber nee .... der ist nicht schuld. Schuld...

Was für gute Alternativen gibt's aktuell?
Peace Р03. Apr 2020

... am besten mit aufgehobenen Beschränkungen aufgrund von Corona? Ich habe Zoom schon...

Re: Arbeiten daran
quineloe 02. Apr 2020

Bei Teams funktionieren doch nicht mal die Sicherheitslücken richtig.

Folgen Sie uns
       
Die Tesla-Baustelle von oben 2020-2021

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben 2020-2021 Video aufrufen
Zelda
The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper

    Disney+
    Star auf Disney+: Erstmal sollten Fehler korrigiert werden
    Star auf Disney+
    Erstmal sollten Fehler korrigiert werden

    Statt zunächst Fehler zu beheben, bringt Disney+ lieber neue Inhalte - und damit auch neue Fehler.
    Ein IMHO von Ingo Pakalski

    1. Disney+ Zwei Star-Wars- und fünf Marvel-Serien kommen 2021
    2. Neue Profile von Disney+ im Hands-on Gelungener PIN-Schutz und alte Fehler
    3. Netflix-Konkurrenz Disney+ noch zum günstigeren Abopreis zu bekommen
    Elektroauto
    AfD und Elektroautos: Herr, lass Hirn vom Himmel regnen!
    AfD und Elektroautos
    "Herr, lass Hirn vom Himmel regnen!"

    Der AfD-Abgeordnete Marc Bernhard hat im Bundestag gegen die Elektromobilität gewettert. In seiner Rede war kein einziger Satz richtig.
    Eine Analyse von Friedhelm Greis

    1. Nach Börsengang Lucid plant Konkurrenz für Teslas Model 3
    2. Econelo M1 Netto verkauft Elektro-Kabinenroller für 5.800 Euro
    3. Laden von E-Autos Spitzentreffen zu möglichen Engpässen im Stromnetz
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /