2498468

Zoom: Mehrere private Video-Anrufe im Netz frei verfügbar

06.04.2020 | 13:33 Uhr | Stephan Wiesend

Videokonferenzen boomen. Neben Microsoft Teams dürfte Zoom die am weitesten verbreitete Lösung sein. Aber es gibt ein Problem.

Es gibt viele Gründe dafür, dass die Videochat-Software Zoom so erfolgreich ist: Die Installation ist kinderleicht, die Performance ausgezeichnet und auch die Bedienung einfach und funktional. Zahllose Home-Office-Nutzer haben die Software aus Kalifornien schätzen gelernt. Will man aber die Sicherheitsprobleme der App auflisten, weiß man gar nicht, wo man anfangen soll. Vermutlich sind es aber gerade diese Verstöße gegen Sicherheitsregeln, wegen derer die Software so beliebt ist. Dazu gehören sowohl das Nutzungskonzept als auch einige irritierende Tricks, die Zoom bei der Installation anwendet.

Update vom 6. April: mehrere private Zoom-Videos im Netz zugänglich

1. Installation so mir nichts, dir nichts

Wie schon einigen IT-Profis auffiel, ist die Installation von Zoom merkwürdig einfach möglich. Wenn ein Mac-Anwender an einem Meeting teilnehmen will, ist der Client fast sofort installiert und gestartet. Es gibt nur eine Passwort-Abfrage und später zwei Abfragen, für den Zugriff auf Downloads und die AV-Hardware. Grund dafür sind einige Tricks von Zoom, die sonst nur Malware anwendet: Wie Felix Seele berichtet , nutzt der Installer Skripts, um Abfragen des Systems zu überspringen, und kopiert das Programm mit dem Entpacker 7zip direkt in den Programme-Ordner. Dubios: Bei einer App-Installation sieht man normalerweise ein Abfragefenster der App, das um Erlaubnis bittet. Zoom jedoch ruft ein Fenster auf, das wie eine System-Nachricht aussieht und sofort nach einem Passwort fragt. Eric S. Yuan von Zoom zufolge hat der Hersteller aber gute Gründe für dieses ungewöhnliche Vorgehen: Man wolle das Teilnehmen an einer Besprechung möglichst einfach machen und „limitations of the standard technology“ überwinden.

Die Installation ist überraschend einfach möglich.
Vergrößern Die Installation ist überraschend einfach möglich.

2. Root-Rechte in Gefahr

Laut dem Sicherheitsprofi Patrick Wardle liefert dieses Verhalten von Zoom aber gleich zwei Angriffspunkte für Hacker: Hat ein Angreifer bereits Zugriff auf einen Mac erlangt, aber nur Zugriffsrechte eines Benutzers, kann er durch diesen Installer Root-Rechte erlangen. Es gibt aber noch einen weiteren Angriffspunkt, wenn Zoom installiert ist: Die Zugriffsrechte auf Kamera und Mikro, die Zoom sich einräumt, könnten von Hackern genutzt werden, um ebenfalls unerkannt auf Kamera und Zoom zuzugreifen. Die Hintergründe hat Wardle hier ausführlich erläutert – und rät von der Nutzung ab .

Update: Auf die Kritik von Wardle hat Zoom mittlerweile in einem längeren Blog-Beitrag geantwortet und hat nach eigenen Angaben die beiden Sicherheitslücken bereits geschlossen.

3. Unerkannter Webserver schafft Zugriff auf die Kamera

Letztes Jahr erregte Zoom Aufsehen , da eine frühere Version des Tools unter macOS einen Webserver installierte . Dieser blieb selbst nach der Deinstallation von Zoom auf dem Mac und war von Hackern angreifbar – um unerkannt Zugriff auf die Webcam zu erlangen. Schließlich sorgte Apple dafür , dass das systemeigene Malware Removal Tool diesen Server automatisch löschte. Auch damals begründete Zoom dieses Vorgehen als wichtig für den Bedienkomfort.

4. Facebook greift Daten ab

Bereits behoben wurde ein Fehler der iOS-Version: Diese übermittelte Daten über das Gerät eines Nutzers wie die Bildschirmgröße an Facebook – selbst wenn der Anwender gar keinen Facecook-Account hatte.

5. Bildschirmfreigabe für jeden – auch für Trolle

Sehr beliebt ist Zoom, weil die Anmeldung und Nutzung so einfach möglich ist. Ein Nutzer kann auch ohne Anmeldung oder ein Benutzerkonto an einer Sitzung teilnehmen – und sogar Daten oder seinen Bildschirm teilen. Das ist in der Praxis komfortabel, da beispielsweise ein Lehrer einen Online-Unterricht sofort und ohne lange Konfigurations-Routinen oder Problemen einzelner Schüler starten kann. Trolle nutzten diese simple Anmeldung aber gerne aus, um mit Pornos oder verstörenden Bildern in fremde Konferenzen zu platzen. Dies kann man aber lösen, wenn man für die Konferenz die Freigabe-Voreinstellungen ändert. Hier ist die Standardeinstellung so gewählt, dass allen Teilnehmern sofort teilnehmen können – auch unangemeldete, die sich dann schwer vertreiben lassen und sich mit neuen Nutzernamen immer wieder neu anmelden können. Als Reaktion zu diesen Angriffen hat Zoom eine Anleitung veröffentlicht, wie man die Angreifer aussperren kann .

6. Unverschlüsselt auf Servern

Zoom behauptet, die Meetings wären Ende zu Ende, also durchgehend verschlüsselt und damit vor dem Ausspähen von außen geschützt, laut einem Bericht von "The Intercept" ist dies nicht ganz korrekt. Bei einer Ende-zu-Ende-Verschlüsselung, wie sie etwa Apples FaceTime bietet, werden die Daten verschlüsselt zu den Servern des Anbieters übertragen und sind auch auf dem Server verschlüsselt – der Anbieter hat keinen Zugriff auf die Daten. Zoom nutzt aber offensichtlich eine einfachere Transportverschlüsselung (TLS): Videodaten einer Konferenz und der Ton werden zwar verschlüsselt übermittelt, ein Hacker kann die Daten etwa nicht im Wi-Fi-Netz mitschneiden. Die Daten werden aber offensichtlich ungeschützt auf den US-Servern verwaltet, was wohl auch die Performance verbessert. Zoom verspricht zwar, das Unternehmen würde nicht auf die Daten zugreifen, ein Restrisiko bleibt aber. So veröffentlicht Zoom keinen Transparenzbericht zu Anfragen von Behörden. Nur die Chats werden offenbar E2E verschlüsselt. Auf diese Vorwürfe ist Zoom mittlerweile eingegangen und hat Besserung gelobt. Es komme zwar keine echte E2E-Verschlüsselung zum Einsatz, verzichtet man aber auf eine Aufnahme und nutzt nur Zoom-Clients, würden die Daten nur auf den jeweiligen Clients entschlüsselt. Es gäbe außerdem keine Hintertüren und Firmenangehörige hätten keinen Zugriff auf die Daten.

Unsere Meinung

Zoom ist eine komfortable Software, die vielen Home-Office-Neulingen ihre Arbeit erleichtert hat. Es ist deshalb nicht anzunehmen, dass die Beliebtheit von Zoom durch diese zahlreichen Sicherheitsprobleme beeinträchtigt wird – sind diese doch offensichtlich der Grund für den guten Komfort und schnelle Einsetzbarkeit. Schnelle Nutzbarkeit und Komfort haben offensichtlich Priorität bei Zoom. Zumindest die Voreinstellungen sollte man aber ändern und sich der mäßigen Sicherheit bewusst sein. Für sensiblere Geschäftstermine sollte man jedenfalls besser eine sicherere Software verwenden: Es ist wohl recht vielsagend, dass laut Mark Gurman Apple seinen Mitarbeitern die Nutzung von Zoom nicht erlaubt, nur Slack, Cisco Webex/Jabber und FaceTime.

Update vom 2.4.: Mittlerweile hat Zoom allerdings auf die Vorwürfe reagiert und in einem längeren Blog-Beitrag darauf geantwortet . Die Firma gelobt Besserung und will sich in den nächsten 90 Tagen um die Vorwürfe kümmern und Sicherheit und Datenschutz verbessern.

Update vom 6.4.: Wie die amerikanische Zeitung " The Washington Post " berichtet, sind tausende Aufnahmen von Zoom-Videokonferenzen frei im Internet verfügbar: Dazu sollen Aufnahmen von Therapie-Sitzungen, Unternehmens-Meetings, Schulungs-Videos oder auch sehr intime Gespräche gehören, – die ohne Wissen aller Teilnehmer aufgezeichnet wurden. Einige von der Zeitung befragte Teilnehmer waren sehr erstaunt, dass Aufnahmen ihrer internen Firmen-Meetings existieren. Einige Videos kursieren auf Youtube und Vimeo, andere können laut Bericht mit einer Suchmaschine aufgespürt werden, die Cloud-Speicher durchsucht. 

Ursache ist vermutlich, dass eine Zoom-Konferenz mit Zoom sehr einfach aufgenommen werden kann, auch ohne Wissen aller Teilnehmer. Die Aufnahme kann wahlweise auf dem eigenen Rechner oder Servern von Zoom gespeichert werden. Im Prinzip können zwar auch Videokonferenzen anderer Hersteller mitgeschnitten werden, ein zusätzliches Problem ist aber bei Zoom, dass die Software beim Benennen der Videos ein festes Namensschema nutzt: Der Dateiname enthält als Standard immer das Wort „Zoom“. Nutzten Anwender dann als Aufbewahrungsort für die Daten ungeschützten Webspeicher, ist für Suchmaschinen dadurch die einfache Erkennung von Zoom-Aufnahmen möglich – auch ohne böse Absichten der Uploader. Allein über Amazon-Server des Typs S3 sollen knapp 15 000 Aufnahmen frei verfügbar sein. 

Zoom wurde in den letzten Wochen bereits für seine mangelnden Sicherheitsvorkehrungen kritisiert, der Gründen Eric Yuan entschuldigte sich erst vor wenigen Tagen in einem längeren Artikel für Probleme beim Datenschutz.

PC-WELT Marktplatz

2498468