• IT-Karriere:
  • Services:

Videokonferenzen: Teure Zero-Day-Lücken für Zoom auf dem Schwarzmarkt

Bis zu 500.000 US-Dollar kostet eine Sicherheitslücke für die Videokonferenz-Software Zoom. Das scheint überteuert, doch die Plattform ist ein attraktives Ziel.

Artikel veröffentlicht am , Anna Biselli
Allseits beliebt, bei Nutzern und Angreifern gleichermaßen
Allseits beliebt, bei Nutzern und Angreifern gleichermaßen (Bild: Gabriel Benois/unsplash.com)

Universitäten beschaffen Zoom-Lizenzen, um Vorlesungen online zu halten, Freundeskreise nutzen den Videokonferenz-Dienst für virtuelle Stammtische und sogar EU-Ministertreffen fanden offenbar über die Plattform statt. Mit ihrer Beliebtheit bei Nutzern steigt auch die Attraktivität als Angriffsziel. Motherboard berichtet, dass noch unbekannte Sicherheitslücken für Zoom auf dem Schwarzmarkt für eine halbe Million US-Dollar angeboten werden.

Stellenmarkt
  1. noris network AG, Nürnberg, Aschheim (bei München), München, Berlin (Home-Office möglich)
  2. Hays AG, Mannheim

Mehrere Quellen hätten Motherboard bestätigt, dass derzeit Zero-Day-Sicherheitslücken für Windows- und MacOS-Clients von Zoom auf dem Markt seien. Bei der Windows-Variante handele es sich um eine Remote-Code-Execution-Schwachstelle. Damit können Angreifer aus der Ferne Schadcode ausführen. Um den gesamten Rechner übernehmen zu können, müsse aber bei der angebotenen Zoom-Lücke noch ein weiterer Bug auf dem Zielsystem vorliegen.

Außerdem müsse sich der Angreifer in einem Call mit dem gewünschten Opfer befinden. Das macht die Lücke weniger attraktiv und lässt den Preis von einer halben Million US-Dollar sehr hoch erscheinen. Solche Beträge werden sonst etwa für fortgeschrittene iOS-Exploits verlangt, mit denen sich Geräte komplett übernehmen lassen. Eine der Quellen von Motherboard schätzte den tatsächlichen Wert des Zero-Days auf etwa die Hälfte des verlangten Preises ein.

Immer wieder gab es Berichte über Sicherheits- und Datenschutzprobleme bei Zoom. Mehrere Institutionen und Unternehmen, darunter SpaceX oder das Auswärtige Amt, untersagen mittlerweile die Nutzung der Anwendung für dienstliche Zwecke.

Zoom kündigte Anfang April an, vorerst keine neuen Features implementieren und sich 90 Tage lang nur um Sicherheitsbelange kümmern zu wollen. Dazu gehört auch ein verbessertes Bug-Bounty-Programm, bei dem das Unternehmen für gefundene und gemeldete Sicherheitslücken Geld in Aussicht stellt. Im vergangenen Jahr wurde Zoom für seinen Umgang mit gemeldeten Sicherheitslücken kritisiert, das Unternehmen knüpfte die Zahlung einer Belohnung daran, über die gefundenen Lücken auch nach ihrer Schließung zu schweigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 159,99€ (mit Rabattcode "POWERFRIDAY20" - Bestpreis!)
  2. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,98€)
  3. 699€ (mit Rabattcode "POWERFRIDAY20" - Bestpreis!)

Folgen Sie uns
       


Xbox Series S ausgepackt

Wir packen beide Konsolen aus und zeigen den Lieferumfang.

Xbox Series S ausgepackt Video aufrufen
Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge

Astronomie: Arecibo wird abgerissen
Astronomie
Arecibo wird abgerissen

Das weltberühmte Radioteleskop ist nicht mehr zu retten. Reparaturarbeiten wären lebensgefährlich.

  1. Astronomie Zweites Kabel von Arecibo-Radioteleskop kaputt
  2. Die Zukunft des Universums Wie alles endet
  3. Astronomie Gibt es Leben auf der Venus?

Next-Gen: Tolle Indiegames für PS5 und Xbox Series X/S
Next-Gen
Tolle Indiegames für PS5 und Xbox Series X/S

Kaum ein unabhängiger Entwickler hat Dev-Kits für PS5 und Xbox Series X/S - aber The Pathinder und Falconeer sind tolle Next-Gen-Indiegames!
Von Rainer Sigl

  1. Indiegames-Rundschau Raumschiffknacker im Orbit
  2. Rollenspiel Fans übersetzen Disco Elysium ins Deutsche
  3. Indiegames-Rundschau Einmal durchspielen in 400 Tagen

    •  /