Homeoffice: Neue Sicherheitslücken in Zoom entdeckt

Zugriff auf die Kamera, Root-Rechte und bösartige Links - in Sachen Sicherheit steht Zoom nicht gut da.

Artikel veröffentlicht am ,
Sicherheitslücken und Datenschutzprobleme in Zoom nehmen zu.
Sicherheitslücken und Datenschutzprobleme in Zoom nehmen zu. (Bild: Zoom)

Durch die Coronapandemie sind viele Kollegen, Freunde und Familien nur noch über das Internet oder Telefon zu erreichen. Um sich trotzdem sehen und besprechen zu können, setzten viele derzeit auf die Videokonferenzsoftware Zoom.

Inhalt:
  1. Homeoffice: Neue Sicherheitslücken in Zoom entdeckt
  2. Zoom wirbt mit End-zu-Ende-Verschlüsselung - die es nicht gibt

Doch Sicherheitsforscher finden immer wieder neue Sicherheits- und Datenschutzprobleme in der Software. Mit verschiedenen, teils sehr einfachen Tricks, lassen sich Programme auf Windowsrechnern starten, auf Webcam und Mikrofon auf dem Mac zugreifen oder die Rechte ausweiten. Zudem wirbt Zoom mit einer Ende-zu-Ende-Verschlüsselung, die es gar nicht gibt.

Neue Sicherheitslücken in Zoom

Zoom erkennt URLs in Textnachrichten, beispielsweise im Chat, und verlinkt diese. Dies geschieht allerdings auch mit UNC-Links wie \\?\\C:\Windows\System32\calc.exe. Ein Klick auf diesen startet beispielsweise den Taschenrechner. Mit solchen Links könnte jedoch auch Schadsoftware ausgeführt oder ein Denial-of-Service-Angriff gestartet werden, betont der Sicherheitsforscher Tavis Ormandy von Googles Project Zero. Die URLs könnten zudem leicht getarnt werden.

Andere Sicherheitsforscher sehen die Möglichkeit, mit einem solchen Link auf einen SMB-Share im Internet zu verweisen. Klicke ein Nutzer darauf, würde automatisch ein NTLM-Passwort-Hash an den SMB-Server übertragen. "Bei Zoom ist die Gewährleistung der Privatsphäre und Sicherheit unserer Nutzer und ihrer Daten von höchster Bedeutung. Wir sind uns des UNC-Problems bewusst und arbeiten daran, es anzugehen", sagte ein Zoom-Sprecher dem Onlinemagazin Bleepingcomputer.

Sicherheitslücken auf dem Mac erlauben Root-Rechte und Kamerazugriff

Bereits die Installation der Zoom-Software auf dem Mac setzt auf eine merkwürdige Vorgehensweise. Sofern der Nutzer über Administratorenrechte verfügt, wird die Software nach einem Klick auf das Paket direkt installiert. Alternativ triggert die Software eine Systemabfrage nach dem Benutzernamen und dem Passwort des Administrators. Eine weitere Bestätigung des Installationsvorganges gibt es nicht. Solche Tricks werden sonst von Schadsoftware auf dem Mac verwendet.

Bei der Installation und möglicherweise auch bei Updates der Zoom-Software ist zudem eine Rechte-Auswertung möglich. Laut dem Sicherheitsforscher Patrick Wardle führt Zoom bei der Installation ein Script mit dem Namen "runwithroot" als Root aus. Dieses werde ungeprüft verwendet und könne mit Nutzerrechten bearbeitet werden.

Mit einer weiteren Sicherheitslücke könne Code in den Zoom-Prozess eingeschleust werden und so auf die Kamera und das Microfon des Macs zugegriffen werden. Diese könnten zu beliebigen Zeitpunkten aktiviert werden ohne dass eine Nutzerabfrage stattfinde, betont Wardle. "Obwohl Zoom unglaublich populär ist, hat es eine eher trostlose Geschichte in Sachen Sicherheit und Datenschutz", schreibt Wardle und verweist auf eine Sicherheitslücke aus dem vergangenen letzten Jahr, mit welcher ebenfalls unbemerkt die Kamera von Zoom-Nutzer aktiviert werden konnte.

Damit nicht genug leakt Zoom unter bestimmten Umständen auch die Kontaktdaten von anderen Nutzern und bewirbt seine Transportverschlüsselung als Ende-zu-Ende-Verschlüsselung - doch nur bei Letzterer könnte Zoom die Konferenz-Inhalte nicht selbst einsehen. Mehrere Firmen haben den Einsatz der Software bereits untersagt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zoom wirbt mit End-zu-Ende-Verschlüsselung - die es nicht gibt 
  1. 1
  2. 2
  3.  


trinkhorn 14. Apr 2020

Die Entscheidung wurde zentral im Konzern gefällt, nicht bei uns am Standort. Weiß ich...

quark2017 03. Apr 2020

Geil .... da verbockt der Hersteller was. Aber nee .... der ist nicht schuld. Schuld...

Peace Р03. Apr 2020

... am besten mit aufgehobenen Beschränkungen aufgrund von Corona? Ich habe Zoom schon...

quineloe 02. Apr 2020

Bei Teams funktionieren doch nicht mal die Sicherheitslücken richtig.



Aktuell auf der Startseite von Golem.de
Apple TV+ im Nachtest
Nicht nur die fehlende Android-Unterstützung nervt

Apple hat den Ruf, Produkte zu verkaufen, die besonders gut bedient werden können. Das gilt aber weiterhin nur begrenzt für Apple TV+.
Ein Test von Ingo Pakalski

Apple TV+ im Nachtest: Nicht nur die fehlende Android-Unterstützung nervt
Artikel
  1. Streamer: Rocket Beans muss in Kurzarbeit
    Streamer
    Rocket Beans muss in Kurzarbeit

    Der Gaming-Kanal Rocket Beans hat wirtschaftliche Schwierigkeiten. Mitarbeiter müssen in Kurzarbeit, einige Sendungen entfallen.

  2. Prozesse vereinfachen mit SAP S/4HANA
     
    Prozesse vereinfachen mit SAP S/4HANA

    Die ALDI SÜD IT setzt auf SAP S/4HANA als operativen Kern ihrer modernen Systemlandschaft, um Prozesse vereinfachen. Eine Investition mit Mehrwert für Kolleg*innen und Kund*innen in mehr als 7.000 Filialen weltweit.
    Sponsored Post von Aldi Süd

  3. Samsung: Galaxy S23 Ultra mit mehr als 60 GByte Systemspeicher
    Samsung
    Galaxy S23 Ultra mit mehr als 60 GByte Systemspeicher

    Mehrere Nutzer der neuen Galaxy-S23-Serie haben festgestellt, dass Android bei ihren Geräten sehr viel Speicher belegt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • DAMN-Deals: AMD CPUs zu Tiefstpreisen (u. a. R7 5800X3D 324€)• MindStar: Zotac RTX 4070 Ti 949€, XFX RX 6800 519€ • WSV-Finale bei MediaMarkt (u. a. Samsung 980 Pro 2 TB Heatsink 199,99€) • RAM im Preisrutsch • Powercolor RX 7900 XTX 1.195€ • PCGH Cyber Week nur noch kurze Zeit [Werbung]
    •  /