Homeoffice: Neue Sicherheitslücken in Zoom entdeckt
Durch die Coronapandemie sind viele Kollegen, Freunde und Familien nur noch über das Internet oder Telefon zu erreichen. Um sich trotzdem sehen und besprechen zu können, setzten viele derzeit auf die Videokonferenzsoftware Zoom.
Doch Sicherheitsforscher finden immer wieder neue Sicherheits- und Datenschutzprobleme in der Software. Mit verschiedenen, teils sehr einfachen Tricks, lassen sich Programme auf Windowsrechnern starten, auf Webcam und Mikrofon auf dem Mac zugreifen oder die Rechte ausweiten. Zudem wirbt Zoom mit einer Ende-zu-Ende-Verschlüsselung, die es gar nicht gibt.
Neue Sicherheitslücken in Zoom
Zoom erkennt URLs in Textnachrichten, beispielsweise im Chat, und verlinkt diese. Dies geschieht allerdings auch mit UNC-Links wie \\?\\C:\Windows\System32\calc.exe . Ein Klick auf diesen startet beispielsweise den Taschenrechner. Mit solchen Links könnte jedoch auch Schadsoftware ausgeführt oder ein Denial-of-Service-Angriff gestartet werden, betont der Sicherheitsforscher Tavis Ormandy(öffnet im neuen Fenster) von Googles Project Zero. Die URLs könnten zudem leicht getarnt werden.
Andere Sicherheitsforscher(öffnet im neuen Fenster) sehen die Möglichkeit, mit einem solchen Link auf einen SMB-Share im Internet zu verweisen. Klicke ein Nutzer darauf, würde automatisch ein NTLM-Passwort-Hash an den SMB-Server übertragen. "Bei Zoom ist die Gewährleistung der Privatsphäre und Sicherheit unserer Nutzer und ihrer Daten von höchster Bedeutung. Wir sind uns des UNC-Problems bewusst und arbeiten daran, es anzugehen," sagte ein Zoom-Sprecher dem Onlinemagazin Bleepingcomputer(öffnet im neuen Fenster) .
Sicherheitslücken auf dem Mac erlauben Root-Rechte und Kamerazugriff
Bereits die Installation der Zoom-Software auf dem Mac setzt auf eine merkwürdige Vorgehensweise(öffnet im neuen Fenster) . Sofern der Nutzer über Administratorenrechte verfügt, wird die Software nach einem Klick auf das Paket direkt installiert. Alternativ triggert die Software eine Systemabfrage nach dem Benutzernamen und dem Passwort des Administrators. Eine weitere Bestätigung des Installationsvorganges gibt es nicht. Solche Tricks werden sonst von Schadsoftware auf dem Mac verwendet.
Bei der Installation und möglicherweise auch bei Updates der Zoom-Software ist zudem eine Rechte-Auswertung möglich. Laut dem Sicherheitsforscher Patrick Wardle(öffnet im neuen Fenster) führt Zoom bei der Installation ein Script mit dem Namen "runwithroot" als Root aus. Dieses werde ungeprüft verwendet und könne mit Nutzerrechten bearbeitet werden.
Mit einer weiteren Sicherheitslücke könne Code in den Zoom-Prozess eingeschleust werden und so auf die Kamera und das Microfon des Macs zugegriffen werden. Diese könnten zu beliebigen Zeitpunkten aktiviert werden ohne dass eine Nutzerabfrage stattfinde, betont Wardle. "Obwohl Zoom unglaublich populär ist, hat es eine eher trostlose Geschichte in Sachen Sicherheit und Datenschutz," schreibt Wardle und verweist auf eine Sicherheitslücke aus dem vergangenen letzten Jahr, mit welcher ebenfalls unbemerkt die Kamera von Zoom-Nutzer aktiviert werden konnte .
Damit nicht genug leakt Zoom unter bestimmten Umständen auch die Kontaktdaten von anderen Nutzern und bewirbt seine Transportverschlüsselung als Ende-zu-Ende-Verschlüsselung - doch nur bei Letzterer könnte Zoom die Konferenz-Inhalte nicht selbst einsehen. Mehrere Firmen haben den Einsatz der Software bereits untersagt.
Zoom wirbt mit End-zu-Ende-Verschlüsselung - die es nicht gibt
Sowohl auf der Webseite(öffnet im neuen Fenster) als auch im Security-Whitepaper(öffnet im neuen Fenster) bewirbt Zoom Ende-zu-Ende-Verschlüsselte Meetings, also den übertragenen Video- und Audioaufnahmen. Das klingt großartig, unterstützen doch die wenigsten Videokonferenztools eine Ende-zu-Ende-Verschlüsselung. Doch auf Nachfrage des Onlinemagazins The Intercept(öffnet im neuen Fenster) erklärte ein Zoom-Sprecher: "Derzeit ist es nicht möglich, die E2E-Verschlüsselung für Zoom-Videokonferenzen zu aktivieren. Zoom-Videokonferenzen verwenden eine Kombination aus TCP und UDP. TCP-Verbindungen werden über TLS hergestellt, und UDP-Verbindungen werden mit AES unter Verwendung eines über eine TLS-Verbindung ausgehandelten Schlüssels verschlüsselt."
"Wenn wir den Ausdruck Ende-zu-Ende verwenden, bezieht er sich auf die Verbindung, die von Zoom-Endpunkt zu Zoom-Endpunkt verschlüsselt wird," sagte der Zoom-Sprecher. Der Inhalt würde also zwischen den Zoom-Clients und der Zoom-Cloud verschlüsselt. Dabei handelt es sich jedoch um eine Transportverschlüsselung bis zum Server und eben nicht um eine Ende-zu-Ende-Verschlüsselung, bei der die übertragenen Inhalte zwischen den beiden Kommunikationspartnern verschlüsselt übertragen werden, ohne dass ein Mittelsmann wie die Zoom-Cloud die Daten einsehen kann. Insofern gaukelt Zoom dem Nutzer ein nicht vorhandenes Sicherheitsfeature vor. Nur bei der textbasierten Chatfunktion lasse sich tatsächlich eine Ende-zu-Ende-Verschlüsselung aktivieren, schreibt The Intercept.
Zoom leakt E-Mail-Adressen und Kontaktinformationen
Zoom gruppiert Kontakte mit der gleichen E-Mail-Domäne in einen Firmen-Ordner. Dort lassen sich die Arbeitskontakte mit E-Mail-Adresse und Foto einsehen, um direkt mit ihnen in Kontakt treten zu können. Das passiert allerdings nicht nur mit Kollegen und Firmen: So wurden dem Z oom-Nutzer Barend Gehrels 995 Kontakte in dem Ordner angezeigt(öffnet im neuen Fenster) .
Er hatte sich mit einer E-Mail-Adresse registriert, die er bei einem niederländischen Provider erhalten hatte. Unklar ist, wie weit das Problem verbreitet ist. Zoom filtert bekannte E-Mail-Anbieter wie Yahoo, Hotmail oder Gmail automatisch aus. "Zoom führt eine schwarze Liste von Domains und identifiziert regelmäßig proaktiv die hinzuzufügenden Domains," erklärte ein Zoom-Sprecher. Zudem könnten Anbieter ihre Domains selbst bei Zoom auf die schwarze Liste(öffnet im neuen Fenster) setzen lassen.
SpaceX und Nasa verbannen Zoom
Die Raumfahrfirma SpaceX hat ihren Mitarbeitern die Nutzung von Zoom wegen "erheblichen Datenschutz- und Sicherheitsbedenken" untersagt, zitiert die Nachrichtenagentur Reuters(öffnet im neuen Fenster) aus einer internen E-Mail. Demnach sei Zoom deaktiviert worden und die Mitarbeiter seien auf die "alternativen Kommunikationsmittel E-Mail, Text oder Telefon" verwiesen worden. Auch bei der Nasa darf Zoom nicht mehr verwendet werden, wie eine Sprecherin mitteilte.
Zuvor war bekanntgeworden, dass Zooms iOS-App heimlich Daten an Facebook weitergab . Die Zoom-Entwickler wollen davon nichts gewusst haben und entfernten die Funktion. Die Datenweitergabe wird von der New Yorker Generalstaatsanwältin untersucht , auch eine Sammelklage ist anhängig.
Neben den Datenschutzproblemen warnt selbst das FBI mittlerweile vor einem Phänomen, das Zoombombing genannt wird. Trolle übernehmen Zoom-Konferenzen, um Pornografie oder rassistische Beleidigungen zu verbreiten. Betroffen waren beispielsweise Zoom-Konferenzen, die für Vorlesungen, Schulunterricht oder Wahlkampfveranstaltungen eingerichtet wurden.
Nachtrag vom 2. April 2020, 12:30 Uhr
In einem Blogeintrag(öffnet im neuen Fenster) kündigte Zoom-CEO Eric S. Yuan an, sich in den nächsten 90 Tagen proaktiv um die Sicherheitsprobleme kümmern zu wollen. In dieser Zeit wolle Zoom keine neuen Funktionen entwickeln, sondern "alle Ressourcen auf unsere größten Vertrauens-, Sicherheits- und Datenschutzprobleme" konzentrieren. Auch ein Transparenzbericht, sowie ein Bug-Bounty-Programm sollen eingeführt werden.