• IT-Karriere:
  • Services:

Homeoffice: Neue Sicherheitslücken in Zoom entdeckt

Zugriff auf die Kamera, Root-Rechte und bösartige Links - in Sachen Sicherheit steht Zoom nicht gut da.

Artikel veröffentlicht am ,
Sicherheitslücken und Datenschutzprobleme in Zoom nehmen zu.
Sicherheitslücken und Datenschutzprobleme in Zoom nehmen zu. (Bild: Zoom)

Durch die Coronapandemie sind viele Kollegen, Freunde und Familien nur noch über das Internet oder Telefon zu erreichen. Um sich trotzdem sehen und besprechen zu können, setzten viele derzeit auf die Videokonferenzsoftware Zoom.

Inhalt:
  1. Homeoffice: Neue Sicherheitslücken in Zoom entdeckt
  2. Zoom wirbt mit End-zu-Ende-Verschlüsselung - die es nicht gibt

Doch Sicherheitsforscher finden immer wieder neue Sicherheits- und Datenschutzprobleme in der Software. Mit verschiedenen, teils sehr einfachen Tricks, lassen sich Programme auf Windowsrechnern starten, auf Webcam und Mikrofon auf dem Mac zugreifen oder die Rechte ausweiten. Zudem wirbt Zoom mit einer Ende-zu-Ende-Verschlüsselung, die es gar nicht gibt.

Neue Sicherheitslücken in Zoom

Zoom erkennt URLs in Textnachrichten, beispielsweise im Chat, und verlinkt diese. Dies geschieht allerdings auch mit UNC-Links wie \\?\\C:\Windows\System32\calc.exe. Ein Klick auf diesen startet beispielsweise den Taschenrechner. Mit solchen Links könnte jedoch auch Schadsoftware ausgeführt oder ein Denial-of-Service-Angriff gestartet werden, betont der Sicherheitsforscher Tavis Ormandy von Googles Project Zero. Die URLs könnten zudem leicht getarnt werden.

Andere Sicherheitsforscher sehen die Möglichkeit, mit einem solchen Link auf einen SMB-Share im Internet zu verweisen. Klicke ein Nutzer darauf, würde automatisch ein NTLM-Passwort-Hash an den SMB-Server übertragen. "Bei Zoom ist die Gewährleistung der Privatsphäre und Sicherheit unserer Nutzer und ihrer Daten von höchster Bedeutung. Wir sind uns des UNC-Problems bewusst und arbeiten daran, es anzugehen", sagte ein Zoom-Sprecher dem Onlinemagazin Bleepingcomputer.

Sicherheitslücken auf dem Mac erlauben Root-Rechte und Kamerazugriff

Stellenmarkt
  1. Sagemcom Dr. Neuhaus GmbH, Rostock
  2. Hays AG, Ellwangen (Jagst)

Bereits die Installation der Zoom-Software auf dem Mac setzt auf eine merkwürdige Vorgehensweise. Sofern der Nutzer über Administratorenrechte verfügt, wird die Software nach einem Klick auf das Paket direkt installiert. Alternativ triggert die Software eine Systemabfrage nach dem Benutzernamen und dem Passwort des Administrators. Eine weitere Bestätigung des Installationsvorganges gibt es nicht. Solche Tricks werden sonst von Schadsoftware auf dem Mac verwendet.

Bei der Installation und möglicherweise auch bei Updates der Zoom-Software ist zudem eine Rechte-Auswertung möglich. Laut dem Sicherheitsforscher Patrick Wardle führt Zoom bei der Installation ein Script mit dem Namen "runwithroot" als Root aus. Dieses werde ungeprüft verwendet und könne mit Nutzerrechten bearbeitet werden.

Mit einer weiteren Sicherheitslücke könne Code in den Zoom-Prozess eingeschleust werden und so auf die Kamera und das Microfon des Macs zugegriffen werden. Diese könnten zu beliebigen Zeitpunkten aktiviert werden ohne dass eine Nutzerabfrage stattfinde, betont Wardle. "Obwohl Zoom unglaublich populär ist, hat es eine eher trostlose Geschichte in Sachen Sicherheit und Datenschutz", schreibt Wardle und verweist auf eine Sicherheitslücke aus dem vergangenen letzten Jahr, mit welcher ebenfalls unbemerkt die Kamera von Zoom-Nutzer aktiviert werden konnte.

Damit nicht genug leakt Zoom unter bestimmten Umständen auch die Kontaktdaten von anderen Nutzern und bewirbt seine Transportverschlüsselung als Ende-zu-Ende-Verschlüsselung - doch nur bei Letzterer könnte Zoom die Konferenz-Inhalte nicht selbst einsehen. Mehrere Firmen haben den Einsatz der Software bereits untersagt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zoom wirbt mit End-zu-Ende-Verschlüsselung - die es nicht gibt 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (u. a. Xbox Series S für 290,99€, Xbox Wireless Controller Carbon Black/Robot White/Shock Blue...

trinkhorn 14. Apr 2020

Die Entscheidung wurde zentral im Konzern gefällt, nicht bei uns am Standort. Weiß ich...

quark2017 03. Apr 2020

Geil .... da verbockt der Hersteller was. Aber nee .... der ist nicht schuld. Schuld...

Peace Р03. Apr 2020

... am besten mit aufgehobenen Beschränkungen aufgrund von Corona? Ich habe Zoom schon...

quineloe 02. Apr 2020

Bei Teams funktionieren doch nicht mal die Sicherheitslücken richtig.


Folgen Sie uns
       


Android Smartphone als Webcam nutzen - Tutorial

Wir erklären in einem kurzen Video, wie sich das Smartphone für Videokonferenzen unter Windows nutzen lässt.

Android Smartphone als Webcam nutzen - Tutorial Video aufrufen
    •  /