• IT-Karriere:
  • Services:

Sicherheitslücke: Zoom erlaubt Zugriff auf die Webcam von Mac-Nutzern

Nutzer der Software Zoom können auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden - mitsamt Videostream. Selbst das Deinstallieren der Software schützt davor nicht.

Artikel veröffentlicht am ,
Zoom im Einsatz
Zoom im Einsatz (Bild: Zoom)

Über eine Sicherheitslücke in der Videokonferenzsoftware Zoom können Angreifer auf Millionen Webcams von Mac-Nutzern zugreifen. Auch wenn Nutzer die Software deinstalliert haben, lässt sie sich wieder installieren. Entdeckt hatte die Lücke der Sicherheitsforscher Jonathan Leitschuh und sie an Zoom gemeldet. Die Zoom-Entwickler schlossen sie innerhalb von 90 Tagen nur unzureichend - der Zugriff auf Millionen Webcams ist weiterhin möglich.

Stellenmarkt
  1. Universität Passau, Passau
  2. ING-DiBa AG, Nürnberg

Bei der Installation des Mac-Clients von Zoom richtet die Software einen undokumentierten, lokalen Webserver auf dem Rechner des Nutzers ein. Auch wenn der Nutzer Zoom deinstalliert, verbleibt der Webserver auf dem Mac. Besucht der Nutzer eine präparierte Webseite, kann diese Befehle an den lokalen Server übergeben und den Nutzer ohne dessen Einwilligung zu einer Videokonferenz hinzufügen - inklusive des Livestreams von seiner Webcam. "Das gilt bis heute", betont Leitschuh. Der Code könnte beispielsweise in schadhafte Werbung eingebunden werden oder in eine Phishingkampagne und so den Videostream von ahnungslosen Nutzern ausleiten.

Gelöschte Software wieder installieren

Über den lokalen Webserver lässt sich Zoom auch aktualisieren oder erneut installieren, wenn der Nutzer die Software zuvor deinstalliert hatte. Auch hier reicht eine präparierte Webseite, um die Software von einer Reihe von Domains herunterzuladen und in den Applications-Ordner zu installieren. Eine dieser Domains, Zoomgov.com, sollte am 1. Mai 2019 auslaufen. Hätte ein Angreifer die Domain registriert, hätte er Schadsoftware auf fremden Rechnern verbreiten können. Der Sicherheitsforscher wies Zoom auf die auslaufende Domain am 26. April hin. Fünf Stunden nach dem Gespräch sei die Domain bis ins Jahr 2024 verlängert worden, sagt Leitschuh.

Eine präparierte Webseite konnte zudem in einer Endlosschleife Anfragen an den lokalen Webserver schicken, über welche immer wieder das Zoom-Fenster fokussiert wird. Der Mac wird unbenutzbar. Diese Denial-of-Service-Lücke (DoS) wurde mit der Zoom-Version 4.4.2 geschlossen.

Über vier Millionen Nutzer betroffen

Laut Leitschuh setzten rund 750.000 Unternehmen Zoom für Onlinebesprechungen, Webinare oder Videotelefonanrufe ein. Zoom wirbt mit namhaften Kunden wie Uber, Dropbox, Logitech, Godaddy, Trendmicro und Slack. "Steigern Sie die Produktivität und reduzieren Sie Kosten mit unserer sicheren Videoplattform", bewirbt die Unternehmenswebseite die Videokonferenzsoftware, die sich explizit auch an Regierungen und das Gesundheitswesen richtet. 2015 habe Zoom 40 Millionen Kunden gehabt, schreibt Leitschuh. Rechne man mit ungefähr zehn Prozent Mac-Nutzern, könnten Angreifer auf über vier Millionen Webcams zugreifen.

In seinem Blogeintrag erklärt Leitschuh, wie sich Nutzer ad-hoc vor dem automatischen Zugriff auf die Webcam schützen können. "Ich glaube, dass zum vollständigen Schutz der Benutzer diese Lokale-Webserver-Lösung entfernt werden muss", schreibt Leitschuh in einem Fazit. "Letztlich konnte Zoom die Sicherheitslücke weder schnell bestätigen noch gelang es ihnen, das Problem rechtzeitig zu beheben und ein Update an die Nutzer zu verteilen", sagt der Sicherheitsforscher. Er hatte die Sicherheitslücke bereits am 26. März an Zoom gemeldet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a. Corsair Scimitar Pro RGB Maus 39,99€)
  2. 99,00€
  3. (u. a. Need for Speed Most Wanted, NfS: The Run, Mass Effect 3, Dragon Age 2, Kingdoms of Amalur...
  4. 649€ mit Gutscheincode PSUPERTECH10

Rail 10. Jul 2019

Wer keine vernünftige Firewall hat, ist sowieso unverzeihlich selbst schuld. Dann muss...


Folgen Sie uns
       


Google Pixel 4 und Pixel 4 XL ausprobiert

Google hat seine neuen Pixel-Smartphones vorgestellt: Im ersten Hands on machen das Pixel 4 und das Pixel 4 XL einen guten Eindruck.

Google Pixel 4 und Pixel 4 XL ausprobiert Video aufrufen
Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

Weltraumsimulation: Die Star-Citizen-Euphorie ist ansteckend
Weltraumsimulation
Die Star-Citizen-Euphorie ist ansteckend

Jubelnde Massen, ehrliche Entwickler und ein 30 Kilogramm schweres Modell des Javelin-Zerstörers: Die Citizencon 2949 hat gezeigt, wie sehr die Community ihr Star Citizen liebt. Auf der anderen Seite reden Entwickler Klartext, statt Marketing-Floskeln zum Besten zu geben. Das steckt an.
Ein IMHO von Oliver Nickel

  1. Theatres of War angespielt Star Citizen wird zu Battlefield mit Raumschiffen
  2. Star Citizen Mit der Carrack ins neue Sonnensystem
  3. Star Citizen Squadron 42 wird noch einmal verschoben

Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

    •  /