Homeoffice: Neue Sicherheitslücken in Zoom entdeckt

Zugriff auf die Kamera, Root-Rechte und bösartige Links - in Sachen Sicherheit steht Zoom nicht gut da.

Artikel veröffentlicht am ,
Sicherheitslücken und Datenschutzprobleme in Zoom nehmen zu.
Sicherheitslücken und Datenschutzprobleme in Zoom nehmen zu. (Bild: Zoom)

Durch die Coronapandemie sind viele Kollegen, Freunde und Familien nur noch über das Internet oder Telefon zu erreichen. Um sich trotzdem sehen und besprechen zu können, setzten viele derzeit auf die Videokonferenzsoftware Zoom.

Inhalt:
  1. Homeoffice: Neue Sicherheitslücken in Zoom entdeckt
  2. Zoom wirbt mit End-zu-Ende-Verschlüsselung - die es nicht gibt

Doch Sicherheitsforscher finden immer wieder neue Sicherheits- und Datenschutzprobleme in der Software. Mit verschiedenen, teils sehr einfachen Tricks, lassen sich Programme auf Windowsrechnern starten, auf Webcam und Mikrofon auf dem Mac zugreifen oder die Rechte ausweiten. Zudem wirbt Zoom mit einer Ende-zu-Ende-Verschlüsselung, die es gar nicht gibt.

Neue Sicherheitslücken in Zoom

Zoom erkennt URLs in Textnachrichten, beispielsweise im Chat, und verlinkt diese. Dies geschieht allerdings auch mit UNC-Links wie \\?\\C:\Windows\System32\calc.exe. Ein Klick auf diesen startet beispielsweise den Taschenrechner. Mit solchen Links könnte jedoch auch Schadsoftware ausgeführt oder ein Denial-of-Service-Angriff gestartet werden, betont der Sicherheitsforscher Tavis Ormandy von Googles Project Zero. Die URLs könnten zudem leicht getarnt werden.

Andere Sicherheitsforscher sehen die Möglichkeit, mit einem solchen Link auf einen SMB-Share im Internet zu verweisen. Klicke ein Nutzer darauf, würde automatisch ein NTLM-Passwort-Hash an den SMB-Server übertragen. "Bei Zoom ist die Gewährleistung der Privatsphäre und Sicherheit unserer Nutzer und ihrer Daten von höchster Bedeutung. Wir sind uns des UNC-Problems bewusst und arbeiten daran, es anzugehen", sagte ein Zoom-Sprecher dem Onlinemagazin Bleepingcomputer.

Sicherheitslücken auf dem Mac erlauben Root-Rechte und Kamerazugriff

Stellenmarkt
  1. Senior PHP Entwickler (m/w/d)
    Hays AG, Schleswig-Holstein
  2. SAP SCM Berater (m/w/d)
    Hays AG, Günzburg
Detailsuche

Bereits die Installation der Zoom-Software auf dem Mac setzt auf eine merkwürdige Vorgehensweise. Sofern der Nutzer über Administratorenrechte verfügt, wird die Software nach einem Klick auf das Paket direkt installiert. Alternativ triggert die Software eine Systemabfrage nach dem Benutzernamen und dem Passwort des Administrators. Eine weitere Bestätigung des Installationsvorganges gibt es nicht. Solche Tricks werden sonst von Schadsoftware auf dem Mac verwendet.

Bei der Installation und möglicherweise auch bei Updates der Zoom-Software ist zudem eine Rechte-Auswertung möglich. Laut dem Sicherheitsforscher Patrick Wardle führt Zoom bei der Installation ein Script mit dem Namen "runwithroot" als Root aus. Dieses werde ungeprüft verwendet und könne mit Nutzerrechten bearbeitet werden.

Mit einer weiteren Sicherheitslücke könne Code in den Zoom-Prozess eingeschleust werden und so auf die Kamera und das Microfon des Macs zugegriffen werden. Diese könnten zu beliebigen Zeitpunkten aktiviert werden ohne dass eine Nutzerabfrage stattfinde, betont Wardle. "Obwohl Zoom unglaublich populär ist, hat es eine eher trostlose Geschichte in Sachen Sicherheit und Datenschutz", schreibt Wardle und verweist auf eine Sicherheitslücke aus dem vergangenen letzten Jahr, mit welcher ebenfalls unbemerkt die Kamera von Zoom-Nutzer aktiviert werden konnte.

Damit nicht genug leakt Zoom unter bestimmten Umständen auch die Kontaktdaten von anderen Nutzern und bewirbt seine Transportverschlüsselung als Ende-zu-Ende-Verschlüsselung - doch nur bei Letzterer könnte Zoom die Konferenz-Inhalte nicht selbst einsehen. Mehrere Firmen haben den Einsatz der Software bereits untersagt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zoom wirbt mit End-zu-Ende-Verschlüsselung - die es nicht gibt 
  1. 1
  2. 2
  3.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Ubisoft
Avatar statt Assassin's Creed

E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

Ubisoft: Avatar statt Assassin's Creed
Artikel
  1. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  2. Extraction: Rainbow Six und der Kampf gegen Außerirdische
    Extraction
    Rainbow Six und der Kampf gegen Außerirdische

    E3 2021 Es ist ein ungewöhnlicher Ableger für Siege: Ubisoft hat Rainbow Six Extraction vorgestellt, das auf den Kampf gegen KI-Aliens setzt.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

Kommentarübersicht
Re: Meetingteilnehmer überwachen
trinkhorn 14. Apr 2020

Die Entscheidung wurde zentral im Konzern gefällt, nicht bei uns am Standort. Weiß ich...

Re: Ziemliche Blamage für die Security-Community
quark2017 03. Apr 2020

Geil .... da verbockt der Hersteller was. Aber nee .... der ist nicht schuld. Schuld...

Was für gute Alternativen gibt's aktuell?
Peace Р03. Apr 2020

... am besten mit aufgehobenen Beschränkungen aufgrund von Corona? Ich habe Zoom schon...

Re: Arbeiten daran
quineloe 02. Apr 2020

Bei Teams funktionieren doch nicht mal die Sicherheitslücken richtig.

Folgen Sie uns
       
Verwandte Artikel
artikel-bild
Videokonferenz
Verbraucherschützer verklagen Zoom
artikel-bild
DSGVO
Teams und Zoom lassen sich nicht rechtskonform nutzen
artikel-bild
Zoom, Windows, Nano
Sonst noch was?
artikel-bild
Outlook, Zoom, Cisco
Sonst noch was?
Meistgelesen
artikel-bild
Fifa, Battlefield und Co.
Der EA-Hack startete mit Cookies für 10 US-Dollar
artikel-bild
Zhurong
Chinesischer Marsrover sendet hochauflösende Selfies zurück
artikel-bild
Ubisoft
Avatar statt Assassin's Creed
artikel-bild
Onlinetickets
17-Jähriger betrügt Bahn um 270.000 Euro
Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    Mehr Infos
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /