Ungewollte Kameraaktivierung: Apple stopft schwere Lücke in "Zoom" mit Silent Update
Die Videochat-Anwendung verankerte einen Webserver im System, der auch nach Deinstallation ansprechbar blieb.
Code aus Zoom: Der Server konnte sich auch selbst neue Versionen besorgen.
(Bild: Jonathan Leitschuh)
Apple hat ein schwerwiegendes Sicherheitsproblem in der Videochat- und Meeting-App Zoom mit einer stillen Aktualisierung des Betriebssystems behoben. Wie der Konzern gegenüber dem IT-Blog TechCrunch bestätigte, entfernt das Silent Update einen von Zoom auf dem lokalen System verankerten Webserver, der auch nach einer Deinstallation der App auf dem Rechner bleibt. Mit ihm ist es Angreifern möglich, die Kamera des Mac aus der Ferne und vom Nutzer unerwünscht zu aktivieren, was höchst problematische Auswirkungen für die Privatsphäre haben kann.
Doppelt hält besser
Zoom selbst hatte am Mittwochabend ein eigenes Update für seine macOS-Anwendung herausgebracht, die den Webserver löscht; allerdings scheint Apple die Gefahr als so groß eingeschätzt zu haben, dass der Konzern lieber selbst aktiv wurde. Eine Funktion, mit der Signaturupdates für den Systemschutz Gatekeeper eingespielt werden, lässt sich von Apple auch dazu verwenden, sicherheitsrelevante Aktualisierungen auf den Mac zu bringen. Dies geschieht laut Apple ohne Nutzerinteraktion und automatisch. Der Konzern wendet die Funktion allerdings nur in sehr seltenen Fällen an; regulär müssen Nutzer Sicherheitsupdates von Hand installieren, wenn sie die automatische Update-Funktion in den Systemeinstellungen nicht aktiviert haben.
Der Sicherheitsexperte Jonathan Leitschuh hatte am Montag das Problem in Zoom offengelegt, nachdem er es dem Videochat-Anbieter gegenüber vor Monaten mitgeteilt hatte. "Jede Website konnte einen Nutzer dazu zwingen, an einem Zoom-Anruf teilzunehmen und die Kamera zu aktivieren, ohne dass er dem zustimmen muss", beschrieb er das Problem. Einen Proof-of-Concept veröffentlichte er ebenfalls.
Mit Apple "zusammengearbeitet"
Zoom hatte zunächst den Einsatz eines lokalen Webservers verteidigt, weil dieser die Neuinstallation vereinfachen soll. Dann entschied sich das Unternehmen, eine neue Client-Version für macOS zu publizieren, die den Server killt. Apple reichte das laut eigenen Angaben nicht. Mit dem Silent Update schütze man nun frühere und aktuelle Nutzer vor der undokumentierten Webserver-Lücke, so das Unternehmen gegenüber TechCrunch.
Die Funktionen der Zoom-App werden dadurch nicht gestört. Videochats werden nun nicht mehr automatisch gestartet. Laut Angaben von Zoom hat die Firma mit Apple beim Testen ihrer eigenen Aktualisierung "zusammengearbeitet". Zoom soll laut eigenen Angaben vier Millionen Nutzer in 750.000 Firmen haben. Das Werkzeug ist in den USA besonders beliebt und macht Ciscos WebEx Konkurrenz.
(bsc)
