Videokonferenz-Software: Ist Zoom ein Sicherheitsalptraum?

Inhaltsverzeichnis

Mit Zoom sind Videokonferenzen in Sekunden eingerichtet: Teilnehmer müssen sich nicht einloggen oder für die gleiche Organisation tätig sein wie der Einladende, es gibt eine Gratis-Version und die Software ist schnell installiert. Aus Sicht von Anwenderinnen und Anwendern spricht also vieles für Zoom.

Aus Sicht von Datensicherheits- und Datenschutzfachleuten hingegen spricht derzeit vieles gegen die Software beziehungsweise das Unternehmen Zoom Video. Das Zusammenspiel der diversen neuentdeckten Sicherheitsprobleme sowie dem explosionsartigen Zuwachs an Zoom-Nutzern hat dann auch die New Yorker Generalstaatsanwältin dazu veranlasst, sich bei Zoom nach dem Stand der Dinge zu erkundigen.

Wie verschlüsselt Zoom?

So legt die Firma den an sich klar definierten Begriff "Ende-zu-Ende-Verschlüsselung" ausgesprochen eigenwillig aus. US-Verbraucherschützer sprechen gar von einer Irreführung: Zoom verschlüssele Nutzerkommunikation laut seiner eigenen Website, einem Whitepaper sowie einer Einblendung in der Software unter bestimmten Voraussetzungen Ende-zu-Ende. Wie The Intercept jetzt aber berichtet, nutzt Zoom für Video- und Audiokonferenzen lediglich die Transportverschlüsselung per Transport Layer Security (TLS). [UPDATE] Mittlerweile hat Zoom Stellung zu der Verschlüsselungsproblematik bezogen (siehe Ende dieser Meldung).

Die von Zoom angesprochenen Enden der Kommunikation sind also mitnichten die Endgeräte der Konferenzteilnehmer, sondern die eigenen Server sowie die jeweiligen Endgeräte. Dies öffnet einem möglichen serverseitigen Mitschneiden Tür und Tor. Lediglich reine Text-Chats dürften derzeit bei Zoom Ende-zu-Ende verschlüsselt sein, berichtet The Intercept. Hierfür wird die Software aber kaum genutzt. Dass Ende-zu-Ende-Verschlüsselung auch bei Videokonferenzen möglich ist, zeigen beispielsweise Apples FaceTime oder der Messenger Wire.

Immerhin hat Zoom als Reaktion auf Kritik von Consumer Reports – das US-Pendant zur Stiftung Warentest – per Blog-Beitrag erklärt, dass Inhalte von Chats und Konferenzen nicht zu Werbezwecken analysiert oder Daten über Zoom-Nutzer an Dritte weiterverkauft würden.

Facebook ist draußen

Bis Ende März schickte Zoom bei jedem Start der iOS-Version der Software Daten an Facebook – auch wenn der Zoom-Nutzer gar kein Facebook-Konto hat. Zu den Angaben gehörten die Zeitzone und Aufenthaltsort des Endgeräts, das verwendete Mobilfunknetz sowie eine Tracking-ID, die Werbetreibende zum Verfolgen von Nutzern hernehmen. In den Zoom-AGB wurden diese Datentransfers nicht erwähnt.

Mittlerweile hat Zoom den für den Datentransfer verantwortlichen Programmcode aus der App entfernt. Ob Zoom geschlampt und den vom Facebook-SDK stammenden, in Zoom integrierten Programmcode übersehen hat, ist derzeit nicht bekannt.

Ekel-Pornos per Zoom-Konferenz

"Zoom-Bombing" heißt das Phänomen, bei dem sich Trolle durch das Erraten von Zoom-Meeting-IDs – derzeit neun-, zehn- oder elfstellige Ziffernfolgen – in laufende Zoom-Konferenzen einklinken und beispielsweise pornografische und rassistische Inhalte einfügen. Davor warnt derzeit das FBI. In einem der bekannt gewordenen Fälle beschimpften Rassisten Mitglieder einer jüdischen Kirchengemeinde in Großbritannien, berichtet die BBC. In einem anderen Fall gab ein Troll seinen Bildschirm frei und konfrontierte die Teilnehmer eines öffentlichen, täglichen Zoom-Calls mit verstörenden Porno-Szenen, führt das Nachrichtenportal TechCrunch in einem Bericht aus.

Dem Zoom-Bombing hat das Unternehmen inzwischen einen Riegel vorgeschoben: Erstellen Konferenz-Organisatoren eine neue Einladung, legt das System automatisch ein Passwort fest. Wie Meeting-Organisatoren ihre Besprechungen sonst noch vor nicht geladenen Gästen schützen können, hat die US-Website Bleeping Computer hat zusammengetragen. So sollte man beispielsweise darauf achten, aufgrund von geschlossenen Sicherheitslücken stets die aktuelle Version des Zoom-Clients zu verwenden, die Meeting-ID nur mit ausgewählten Partnern teilen und wenn alle Teilnehmern eingeloggt sind, laufende Meetings für weitere Teilnehmer schließen.

Fragwürdiger Mac-Installer erlaubt Kamera-Zugriff – schon wieder

Bereits im Sommer 2019 stand Zoom in der Kritik: Das Unternehmen schob Mac-Anwendern während der Installation ohne irgendeinen Hinweis einen voll funktionsfähigen Webserver unter. Auch nach dem Entfernen der App blieb der Server auf dem System, was Apple selbst auf den Plan rief: Per Update der Anti-Malware-Funktion von macOS entfernte das Unternehmen die Komponente.

Auch der derzeit verwendete Installationsmechanismus der Mac-Variante steht in der Kritik: Denn Zoom installiert sich auf Macs schon, bevor der Nutzer sein Okay gegeben hat. Mit einem vermeintlichen Systemdialog sollen Root-Rechte erlangt werden.

Der Sicherheitsforscher Patrick Wardle beschreibt darüber hinaus, wie sich ein Angreifer, der bereits normale Benutzerrechte auf dem Mac erlangt hat, durch Missbrauch des Zoom-Installers Root-Rechte verschaffen kann. Damit nicht genug, kann Schadcode Huckepack auf dem Zoom eingeräumten Zugriff auf Kamera und Mikrofon reiten und die Komponenten jederzeit ohne Rückfrage aktivieren. Wahlweise lassen sich über die Schwachstelle auch beliebige Zoom-Konversationen mitschneiden.

Weitere Sicherheitsprobleme

Der Zoom-Client für Windows wandelt per Text-Chat versandte, mit "\\" beginnende Nachrichten in UNC-Hyperlinks um. Klickt der Empfänger auf den Link, lassen sich wahlweise lokale Kommandos wie das Herunterfahren des Rechners absetzen. Zeigt der Link auf einen externen Rechner irgendwo im Internet, schickt Windows standardmäßig den Namen und NTLM-Passwort-Hash des angemeldeten Nutzers an den Server, berichtet ein Sicherheitsforscher mit dem Pseudonym Hacker Fantasie auf Twitter.

Sicherheitsforscher von Checkpoint registrieren einen starken Zuwachs von Domain-Registrierungen, die einen Bezug zu Zoom herstellen. Schätzungen zufolge sind vier Prozent dieser Domains eindeutig bösartig.

Die Electronic Frontier Foundation (EFF) listet verschiedene Zoom-Funktionen auf, mit denen Konferenz-Organisatoren und Administratoren von Unternehmens-Accounts Teilnehmer beziehungsweise Konferenzen überwachen könnten.

[UPDATE, 02.04.2020 11:30 Uhr]

Mittlerweile hat Zoom Stellung zu den Problemen bezogen und einen Beitrag veröffentlicht. Unter anderem verweisen sie dort auf weitere Beiträge, wie beispielsweise Lehrer virtuelle Klassenräumen effektiv absichern können. Außerdem haben sie eine aktualisierte macOS-Version und einen Fix für das Windows-UNC-Problem veröffentlicht.

Darüber hinaus haben die Entwickler weiterführende Informationen zur Verschlüssleung von Zoom veröffentlicht. Dort entschuldigen sie sich zunächst für die Verwirrung, dass Zoom-Meetings Ende-zu-Ende-Verschlüsselung nutzen. Das ist per Definition nicht der Fall. Sie garantieren aber, dass wenn Meetings nicht aufgenommen werden und ausschließlich Zoom-Clients zum Einsatz kommen, die Entschlüsselung ausschließlich auf einem Client stattfindet. Die Zoom-Server können da eigenen Angaben zufolge nicht reingucken. Sie versichern zudem, dass sie keine Hintertüren für beispielsweise Strafverfolger eingebaut haben. (des)