Abo
  • IT-Karriere:

Sicherheitslücke: Zoom erlaubt Zugriff auf die Webcam von Mac-Nutzern

Nutzer der Software Zoom können auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden - mitsamt Videostream. Selbst das Deinstallieren der Software schützt davor nicht.

Artikel veröffentlicht am ,
Zoom im Einsatz
Zoom im Einsatz (Bild: Zoom)

Über eine Sicherheitslücke in der Videokonferenzsoftware Zoom können Angreifer auf Millionen Webcams von Mac-Nutzern zugreifen. Auch wenn Nutzer die Software deinstalliert haben, lässt sie sich wieder installieren. Entdeckt hatte die Lücke der Sicherheitsforscher Jonathan Leitschuh und sie an Zoom gemeldet. Die Zoom-Entwickler schlossen sie innerhalb von 90 Tagen nur unzureichend - der Zugriff auf Millionen Webcams ist weiterhin möglich.

Stellenmarkt
  1. KDO Service GmbH, Oldenburg
  2. DR. JOHANNES HEIDENHAIN GmbH, Traunreut (Raum Rosenheim)

Bei der Installation des Mac-Clients von Zoom richtet die Software einen undokumentierten, lokalen Webserver auf dem Rechner des Nutzers ein. Auch wenn der Nutzer Zoom deinstalliert, verbleibt der Webserver auf dem Mac. Besucht der Nutzer eine präparierte Webseite, kann diese Befehle an den lokalen Server übergeben und den Nutzer ohne dessen Einwilligung zu einer Videokonferenz hinzufügen - inklusive des Livestreams von seiner Webcam. "Das gilt bis heute", betont Leitschuh. Der Code könnte beispielsweise in schadhafte Werbung eingebunden werden oder in eine Phishingkampagne und so den Videostream von ahnungslosen Nutzern ausleiten.

Gelöschte Software wieder installieren

Über den lokalen Webserver lässt sich Zoom auch aktualisieren oder erneut installieren, wenn der Nutzer die Software zuvor deinstalliert hatte. Auch hier reicht eine präparierte Webseite, um die Software von einer Reihe von Domains herunterzuladen und in den Applications-Ordner zu installieren. Eine dieser Domains, Zoomgov.com, sollte am 1. Mai 2019 auslaufen. Hätte ein Angreifer die Domain registriert, hätte er Schadsoftware auf fremden Rechnern verbreiten können. Der Sicherheitsforscher wies Zoom auf die auslaufende Domain am 26. April hin. Fünf Stunden nach dem Gespräch sei die Domain bis ins Jahr 2024 verlängert worden, sagt Leitschuh.

Eine präparierte Webseite konnte zudem in einer Endlosschleife Anfragen an den lokalen Webserver schicken, über welche immer wieder das Zoom-Fenster fokussiert wird. Der Mac wird unbenutzbar. Diese Denial-of-Service-Lücke (DoS) wurde mit der Zoom-Version 4.4.2 geschlossen.

Über vier Millionen Nutzer betroffen

Laut Leitschuh setzten rund 750.000 Unternehmen Zoom für Onlinebesprechungen, Webinare oder Videotelefonanrufe ein. Zoom wirbt mit namhaften Kunden wie Uber, Dropbox, Logitech, Godaddy, Trendmicro und Slack. "Steigern Sie die Produktivität und reduzieren Sie Kosten mit unserer sicheren Videoplattform", bewirbt die Unternehmenswebseite die Videokonferenzsoftware, die sich explizit auch an Regierungen und das Gesundheitswesen richtet. 2015 habe Zoom 40 Millionen Kunden gehabt, schreibt Leitschuh. Rechne man mit ungefähr zehn Prozent Mac-Nutzern, könnten Angreifer auf über vier Millionen Webcams zugreifen.

In seinem Blogeintrag erklärt Leitschuh, wie sich Nutzer ad-hoc vor dem automatischen Zugriff auf die Webcam schützen können. "Ich glaube, dass zum vollständigen Schutz der Benutzer diese Lokale-Webserver-Lösung entfernt werden muss", schreibt Leitschuh in einem Fazit. "Letztlich konnte Zoom die Sicherheitslücke weder schnell bestätigen noch gelang es ihnen, das Problem rechtzeitig zu beheben und ein Update an die Nutzer zu verteilen", sagt der Sicherheitsforscher. Er hatte die Sicherheitslücke bereits am 26. März an Zoom gemeldet.



Anzeige
Top-Angebote
  1. (aktuell u. a. Asus PG279Q ROG Monitor 689€, Corsair Glaive RGB Maus 34,99€)
  2. 14,97€
  3. 107,00€ (Bestpreis!)
  4. 419,00€

Rail 10. Jul 2019 / Themenstart

Wer keine vernünftige Firewall hat, ist sowieso unverzeihlich selbst schuld. Dann muss...

Kommentieren


Folgen Sie uns
       


Noctuas passiver CPU-Kühler (Computex 2019)

Noctua zeigt den ersten passiven CPU-Kühler, welcher sogar einen achtkernigen Core i9-9900K auf Temperatur halten kann.

Noctuas passiver CPU-Kühler (Computex 2019) Video aufrufen
Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.


    In eigener Sache: Golem.de bietet Seminar zu TLS an
    In eigener Sache
    Golem.de bietet Seminar zu TLS an

    Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

    1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
    2. Leserumfrage Wie können wir dich unterstützen?
    3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

    Transport Fever 2 angespielt: Wachstum ist doch nicht alles
    Transport Fever 2 angespielt
    Wachstum ist doch nicht alles

    Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
    Von Achim Fehrenbach

    1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
    2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
    3. Bright Memory angespielt Brachialer PC-Shooter aus China

      •  /