Sicherheitslücke: Zoom erlaubt Zugriff auf die Webcam von Mac-Nutzern

Nutzer der Software Zoom können auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden - mitsamt Videostream. Selbst das Deinstallieren der Software schützt davor nicht.

Artikel veröffentlicht am ,
Zoom im Einsatz
Zoom im Einsatz (Bild: Zoom)

Über eine Sicherheitslücke in der Videokonferenzsoftware Zoom können Angreifer auf Millionen Webcams von Mac-Nutzern zugreifen. Auch wenn Nutzer die Software deinstalliert haben, lässt sie sich wieder installieren. Entdeckt hatte die Lücke der Sicherheitsforscher Jonathan Leitschuh und sie an Zoom gemeldet. Die Zoom-Entwickler schlossen sie innerhalb von 90 Tagen nur unzureichend - der Zugriff auf Millionen Webcams ist weiterhin möglich.

Stellenmarkt
  1. PLM Consultant (m/w/d)
    Max Bögl Stiftung & Co. KG, Sengenthal bei Neumarkt i.d.OPf
  2. Software und Service Ingenieur Linux C++ (m/w/d)
    Thales Deutschland GmbH, München
Detailsuche

Bei der Installation des Mac-Clients von Zoom richtet die Software einen undokumentierten, lokalen Webserver auf dem Rechner des Nutzers ein. Auch wenn der Nutzer Zoom deinstalliert, verbleibt der Webserver auf dem Mac. Besucht der Nutzer eine präparierte Webseite, kann diese Befehle an den lokalen Server übergeben und den Nutzer ohne dessen Einwilligung zu einer Videokonferenz hinzufügen - inklusive des Livestreams von seiner Webcam. "Das gilt bis heute", betont Leitschuh. Der Code könnte beispielsweise in schadhafte Werbung eingebunden werden oder in eine Phishingkampagne und so den Videostream von ahnungslosen Nutzern ausleiten.

Gelöschte Software wieder installieren

Über den lokalen Webserver lässt sich Zoom auch aktualisieren oder erneut installieren, wenn der Nutzer die Software zuvor deinstalliert hatte. Auch hier reicht eine präparierte Webseite, um die Software von einer Reihe von Domains herunterzuladen und in den Applications-Ordner zu installieren. Eine dieser Domains, Zoomgov.com, sollte am 1. Mai 2019 auslaufen. Hätte ein Angreifer die Domain registriert, hätte er Schadsoftware auf fremden Rechnern verbreiten können. Der Sicherheitsforscher wies Zoom auf die auslaufende Domain am 26. April hin. Fünf Stunden nach dem Gespräch sei die Domain bis ins Jahr 2024 verlängert worden, sagt Leitschuh.

Eine präparierte Webseite konnte zudem in einer Endlosschleife Anfragen an den lokalen Webserver schicken, über welche immer wieder das Zoom-Fenster fokussiert wird. Der Mac wird unbenutzbar. Diese Denial-of-Service-Lücke (DoS) wurde mit der Zoom-Version 4.4.2 geschlossen.

Über vier Millionen Nutzer betroffen

Golem Akademie
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    04.-07.07.2022, Virtuell
  2. Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop
    16.-20.05.2022, Virtuell
Weitere IT-Trainings

Laut Leitschuh setzten rund 750.000 Unternehmen Zoom für Onlinebesprechungen, Webinare oder Videotelefonanrufe ein. Zoom wirbt mit namhaften Kunden wie Uber, Dropbox, Logitech, Godaddy, Trend Micro und Slack. "Steigern Sie die Produktivität und reduzieren Sie Kosten mit unserer sicheren Videoplattform", bewirbt die Unternehmenswebseite die Videokonferenzsoftware, die sich explizit auch an Regierungen und das Gesundheitswesen richtet. 2015 habe Zoom 40 Millionen Kunden gehabt, schreibt Leitschuh. Rechne man mit ungefähr zehn Prozent Mac-Nutzern, könnten Angreifer auf über vier Millionen Webcams zugreifen.

In seinem Blogeintrag erklärt Leitschuh, wie sich Nutzer ad-hoc vor dem automatischen Zugriff auf die Webcam schützen können. "Ich glaube, dass zum vollständigen Schutz der Benutzer diese Lokale-Webserver-Lösung entfernt werden muss", schreibt Leitschuh in einem Fazit. "Letztlich konnte Zoom die Sicherheitslücke weder schnell bestätigen noch gelang es ihnen, das Problem rechtzeitig zu beheben und ein Update an die Nutzer zu verteilen", sagt der Sicherheitsforscher. Er hatte die Sicherheitslücke bereits am 26. März an Zoom gemeldet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ebay-Kleinanzeigen
Im Chat mit den Phishing-Betrügern

Wenn man bestimmte Anzeigen in Kleinanzeigenportalen aufgibt, hat man sofort einen Betrüger an der Backe. Die Polizei kann kaum etwas dagegen tun.
Ein Bericht von Friedhelm Greis

Ebay-Kleinanzeigen: Im Chat mit den Phishing-Betrügern
Artikel
  1. Straftatbestand: Wenn Sexting zur Kinderpornografie wird
    Straftatbestand
    Wenn Sexting zur Kinderpornografie wird

    Der Straftatbestand Kinderpornografie umfasst auch Sexting unter Jugendlichen und betrifft ganze Schülerchats. Offenbar wissen viele gar nicht, wann sie strafbar handeln.

  2. Opensignal: Deutsche Telekom hat das schnellste 5G-Netz
    Opensignal
    Deutsche Telekom hat das schnellste 5G-Netz

    Doch mit einer Datenübertragungsrate von 51,8 MBit/s ist selbst der Testsieger Telekom weit entfernt von Gigabit-Versprechen mit 5G.

  3. Spotify for Work: Unternehmen können Mitarbeitern Spotify-Abo schenken
    Spotify for Work
    Unternehmen können Mitarbeitern Spotify-Abo schenken

    Für Unternehmen bietet Spotify die Möglichkeit, die gesamte Belegschaft mit einem kostenlosen Spotify-Premium-Abo zu versorgen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 87€ Rabatt auf SSDs • PNY RTX 3080 12GB günstig wie nie: 974€ • Razer Basilisk V3 Gaming-Maus 44,99€ • PS5-Controller + Samsung SSD 1TB 176,58€ • MindStar (u. a. MSI RTX 3090 24GB Suprim X 1.790€) • Gigabyte Waterforce Mainboard günstig wie nie: 464,29€ [Werbung]
    •  /