Abo
  • IT-Karriere:

Sicherheitslücke: Zoom erlaubt Zugriff auf die Webcam von Mac-Nutzern

Nutzer der Software Zoom können auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden - mitsamt Videostream. Selbst das Deinstallieren der Software schützt davor nicht.

Artikel veröffentlicht am ,
Zoom im Einsatz
Zoom im Einsatz (Bild: Zoom)

Über eine Sicherheitslücke in der Videokonferenzsoftware Zoom können Angreifer auf Millionen Webcams von Mac-Nutzern zugreifen. Auch wenn Nutzer die Software deinstalliert haben, lässt sie sich wieder installieren. Entdeckt hatte die Lücke der Sicherheitsforscher Jonathan Leitschuh und sie an Zoom gemeldet. Die Zoom-Entwickler schlossen sie innerhalb von 90 Tagen nur unzureichend - der Zugriff auf Millionen Webcams ist weiterhin möglich.

Stellenmarkt
  1. enowa AG, Raum Düsseldorf, Raum München
  2. BWI GmbH, Bonn

Bei der Installation des Mac-Clients von Zoom richtet die Software einen undokumentierten, lokalen Webserver auf dem Rechner des Nutzers ein. Auch wenn der Nutzer Zoom deinstalliert, verbleibt der Webserver auf dem Mac. Besucht der Nutzer eine präparierte Webseite, kann diese Befehle an den lokalen Server übergeben und den Nutzer ohne dessen Einwilligung zu einer Videokonferenz hinzufügen - inklusive des Livestreams von seiner Webcam. "Das gilt bis heute", betont Leitschuh. Der Code könnte beispielsweise in schadhafte Werbung eingebunden werden oder in eine Phishingkampagne und so den Videostream von ahnungslosen Nutzern ausleiten.

Gelöschte Software wieder installieren

Über den lokalen Webserver lässt sich Zoom auch aktualisieren oder erneut installieren, wenn der Nutzer die Software zuvor deinstalliert hatte. Auch hier reicht eine präparierte Webseite, um die Software von einer Reihe von Domains herunterzuladen und in den Applications-Ordner zu installieren. Eine dieser Domains, Zoomgov.com, sollte am 1. Mai 2019 auslaufen. Hätte ein Angreifer die Domain registriert, hätte er Schadsoftware auf fremden Rechnern verbreiten können. Der Sicherheitsforscher wies Zoom auf die auslaufende Domain am 26. April hin. Fünf Stunden nach dem Gespräch sei die Domain bis ins Jahr 2024 verlängert worden, sagt Leitschuh.

Eine präparierte Webseite konnte zudem in einer Endlosschleife Anfragen an den lokalen Webserver schicken, über welche immer wieder das Zoom-Fenster fokussiert wird. Der Mac wird unbenutzbar. Diese Denial-of-Service-Lücke (DoS) wurde mit der Zoom-Version 4.4.2 geschlossen.

Über vier Millionen Nutzer betroffen

Laut Leitschuh setzten rund 750.000 Unternehmen Zoom für Onlinebesprechungen, Webinare oder Videotelefonanrufe ein. Zoom wirbt mit namhaften Kunden wie Uber, Dropbox, Logitech, Godaddy, Trendmicro und Slack. "Steigern Sie die Produktivität und reduzieren Sie Kosten mit unserer sicheren Videoplattform", bewirbt die Unternehmenswebseite die Videokonferenzsoftware, die sich explizit auch an Regierungen und das Gesundheitswesen richtet. 2015 habe Zoom 40 Millionen Kunden gehabt, schreibt Leitschuh. Rechne man mit ungefähr zehn Prozent Mac-Nutzern, könnten Angreifer auf über vier Millionen Webcams zugreifen.

In seinem Blogeintrag erklärt Leitschuh, wie sich Nutzer ad-hoc vor dem automatischen Zugriff auf die Webcam schützen können. "Ich glaube, dass zum vollständigen Schutz der Benutzer diese Lokale-Webserver-Lösung entfernt werden muss", schreibt Leitschuh in einem Fazit. "Letztlich konnte Zoom die Sicherheitslücke weder schnell bestätigen noch gelang es ihnen, das Problem rechtzeitig zu beheben und ein Update an die Nutzer zu verteilen", sagt der Sicherheitsforscher. Er hatte die Sicherheitslücke bereits am 26. März an Zoom gemeldet.



Anzeige
Top-Angebote
  1. (u. a. For Honor für 11,50€, Anno 1404 Königsedition für 3,74€, Anno 2070 Königsedition...
  2. (aktuell u. a. Cryorig Gehäuselüfter ab 7,49€, Sandisk Ultra 400-GB-microSDXC für 59,90€)
  3. (u. a. Total war - Three Kingdoms für 35,99€, Command & Conquer - The Ultimate Collection für 4...

Rail 10. Jul 2019 / Themenstart

Wer keine vernünftige Firewall hat, ist sowieso unverzeihlich selbst schuld. Dann muss...

Kommentieren


Folgen Sie uns
       


Wolfenstein Youngblood angespielt

Zwillinge im Kampf gegen das Böse: Im Actionspiel Wolfenstein Youngblood müssen sich Jess und Soph Blazkowicz mit dem Regime anlegen.

Wolfenstein Youngblood angespielt Video aufrufen
Google Maps in Berlin: Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird
Google Maps in Berlin
Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird

Kartendienste sind für Touristen wie auch Ortskundige längst eine willkommene Hilfe. Doch manchmal gibt es größere Fehler. In Berlin werden beispielsweise einige Kleinprofil-Linien falsch gerendert. Dabei werden betriebliche Besonderheiten dargestellt.
Von Andreas Sebayang

  1. Kartendienst Qwant startet Tracking-freie Alternative zu Google Maps
  2. Nahverkehr Google verbessert Öffi-Navigation in Maps
  3. Google Maps-Nutzer können öffentliche Veranstaltungen erstellen

LEDs: Schlimmes Flimmern
LEDs
Schlimmes Flimmern

LED-Licht zu Hause oder im Auto leuchtet nur selten völlig konstant. Je nach Frequenz und Intensität kann das Flimmern der Leuchtmittel problematisch sein, für manche Menschen sogar gesundheitsschädlich.
Von Wolfgang Messer

  1. Wissenschaft Schadet LED-Licht unseren Augen?
  2. Straßenbeleuchtung Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt
  3. ULED Ubiquitis Netzwerkleuchten bieten Wechselstromversorgung

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

    •  /