Sicherheitslücke: Zoom erlaubt Zugriff auf die Webcam von Mac-Nutzern

Über eine Sicherheitslücke in der Videokonferenzsoftware Zoom können Angreifer auf Millionen Webcams von Mac-Nutzern zugreifen. Auch wenn Nutzer die Software deinstalliert haben, lässt sie sich wieder installieren. Entdeckt hatte die Lücke der Sicherheitsforscher Jonathan Leitschuh und sie an Zoom gemeldet. Die Zoom-Entwickler schlossen sie innerhalb von 90 Tagen nur unzureichend - der Zugriff auf Millionen Webcams ist weiterhin möglich.

Bei der Installation des Mac-Clients von Zoom richtet die Software einen undokumentierten, lokalen Webserver auf dem Rechner des Nutzers ein. Auch wenn der Nutzer Zoom deinstalliert, verbleibt der Webserver auf dem Mac. Besucht der Nutzer eine präparierte Webseite, kann diese Befehle an den lokalen Server übergeben und den Nutzer ohne dessen Einwilligung zu einer Videokonferenz hinzufügen - inklusive des Livestreams von seiner Webcam. "Das gilt bis heute", betont Leitschuh. Der Code könnte beispielsweise in schadhafte Werbung eingebunden werden oder in eine Phishingkampagne und so den Videostream von ahnungslosen Nutzern ausleiten.

Gelöschte Software wieder installieren

Über den lokalen Webserver lässt sich Zoom auch aktualisieren oder erneut installieren, wenn der Nutzer die Software zuvor deinstalliert hatte. Auch hier reicht eine präparierte Webseite, um die Software von einer Reihe von Domains herunterzuladen und in den Applications-Ordner zu installieren. Eine dieser Domains, Zoomgov.com, sollte am 1. Mai 2019 auslaufen. Hätte ein Angreifer die Domain registriert, hätte er Schadsoftware auf fremden Rechnern verbreiten können. Der Sicherheitsforscher wies Zoom auf die auslaufende Domain am 26. April hin. Fünf Stunden nach dem Gespräch sei die Domain bis ins Jahr 2024 verlängert worden, sagt Leitschuh.

Eine präparierte Webseite konnte zudem in einer Endlosschleife Anfragen an den lokalen Webserver schicken, über welche immer wieder das Zoom-Fenster fokussiert wird. Der Mac wird unbenutzbar. Diese Denial-of-Service-Lücke (DoS) wurde mit der Zoom-Version 4.4.2 geschlossen.

Über vier Millionen Nutzer betroffen

Laut Leitschuh setzten rund 750.000 Unternehmen Zoom für Onlinebesprechungen, Webinare oder Videotelefonanrufe ein. Zoom wirbt mit namhaften Kunden wie Uber, Dropbox, Logitech, Godaddy, Trend Micro und Slack. "Steigern Sie die Produktivität und reduzieren Sie Kosten mit unserer sicheren Videoplattform", bewirbt die Unternehmenswebseite die Videokonferenzsoftware, die sich explizit auch an Regierungen und das Gesundheitswesen richtet. 2015 habe Zoom 40 Millionen Kunden gehabt, schreibt Leitschuh. Rechne man mit ungefähr zehn Prozent Mac-Nutzern, könnten Angreifer auf über vier Millionen Webcams zugreifen.

In seinem Blogeintrag erklärt Leitschuh, wie sich Nutzer ad-hoc vor dem automatischen Zugriff auf die Webcam schützen können. "Ich glaube, dass zum vollständigen Schutz der Benutzer diese Lokale-Webserver-Lösung entfernt werden muss", schreibt Leitschuh in einem Fazit. "Letztlich konnte Zoom die Sicherheitslücke weder schnell bestätigen noch gelang es ihnen, das Problem rechtzeitig zu beheben und ein Update an die Nutzer zu verteilen", sagt der Sicherheitsforscher. Er hatte die Sicherheitslücke bereits am 26. März an Zoom gemeldet.