Meeting-Zwang: Mac-Kameras lassen sich über Zoom-Sicherheitslücke anschalten

Inhaltsverzeichnis

Eine Sicherheitslücke im Mac-Client der Meeting-Software Zoom kann dazu missbraucht werden, aus dem Netz die Kameras beliebiger Zoom-Nutzer anzuschalten und diese womöglich auszuspionieren. Dazu muss ein Angreifer den Nutzer lediglich auf eine präparierte Webseite locken oder entsprechenden Code auf einer besuchten Webseite einbetten.

Was aber noch schwerer wiegt als die eigentliche Sicherheitslücke ist die Tatsache, dass diese auch nach der Deinstallation der Meeting-Software noch vorhanden ist: Die Software installiert im Hintergrund einen Webserver und belässt diesen auf dem System. Zoom kennt das zugrundeliegende Problem, will daran aber wohl nichts ändern.

Millionen Meeting-Nutzer

Zoom wird nach eigenen Angaben von mehr als 700.000 Firmen mit Millionen von Nutzern für Web-Meetings eingesetzt, inklusive der Hälfte der 50 größten US-Unternehmen (laut Fortune-Magazine). Die Software ist vor allem bei Tech-Unternehmen mit Hauptsitz in den USA verbreitet und wird als größter Konkurrent zu Ciscos WebEx-Meeting-Software gehandelt.

Im Netz berichten viele Anwender, dass sie die Software installieren mussten, um an Bewerbungsgesprächen mit Firmen teilzunehmen, die intern Zoom einsetzen. Vielen Mac-Nutzern wurde so wahrscheinlich unbemerkt der verwundbare Code installiert, auch wenn sie danach die Software wieder entfernt haben.

Eine völlig normale Komfort-Funktion?

Ein unabhängiger Sicherheitsforscher hatte die Schwachstelle entdeckt und Ende März an Zoom und die Browser-Hersteller Mozilla und Google gemeldet. Da die Schwachstelle existiert, weil die Zoom-Software als Teil ihrer Installation einen verwundbaren Web-Server auf dem System installiert, können die Browser-Hersteller nicht verhindern, dass die Kamera des betroffenen Mac-Systems aktiviert wird, ohne dass der Browser-Nutzer darüber informiert wird.

In einer Stellungnahme gegenüber der US-Nachrichtenseite ZDNet gab Zoom zu verstehen, dass man diese Technik entwickelt habe, nachdem Apple in seinen Browser eine Funktion eingebaut habe, die vom Nutzer verlangt, den Start von Zoom (und die Aktivierung der eingebauten Kamera) jedes Mal explizit zu bestätigen. Man hält das Umgehen dieser Anfragen mittels des installierten Web-Servers für eine legitime Technik, die den eigenen Nutzern die Bedienung des Programms erleichtere, meint Zoom.

Teil-Fix

Warum der Webserver allerdings bei der Deinstallation der Software nicht vom System entfernt wird, dazu äußerte sich der Software-Hersteller bisher nicht. In seiner Beschreibung der Sicherheitslücke gibt der Entdecker an, er habe sich mit Zoom-Mitarbeitern getroffen und ihnen die Schwachstelle vorgeführt. Diese hätten einen Fix vorgeschlagen, der das Problem nur teilweise behebt.

Der Sicherheitsforscher hatte ihnen daraufhin weiter Informationen zukommen lassen, wie er diesen Fix umgehen kann und weiterhin Zugriff auf die Kamera eines Macs mit Zoom-Software erhalten kann. Nach seinen Angaben hat Zoom allerdings bisher nur diesen unvollständigen Bugfix an seine Nutzer verteilt.

Verwundbaren Web-Server abschalten

Mac-Nutzer, die in der Vergangenheit Zoom-Software installiert haben, sollten prüfen, ob auf ihrem System ein lokaler Web-Server auf Port 19421 auf Anfragen lauscht. Ist dies der Fall, ist das System nach aktuellem Kenntnisstand wahrscheinlich verwundbar. Dieser Webserver hat unter anderem die Möglichkeit, die deinstallierte Zoom-App erneut zu installieren. Es ist also denkbar, dass der Web-Server auch dazu verwendet werden könnte, aus der Ferne Schadcode zu installieren.

Dazu müsste ein Angreifer weitere Schwachstellen im Zoom-Code finden – was angesichts der unorthodoxen Art, wie die Firma ihre Software auf den Geräten ihrer Nutzer installiert, nicht gänzlich unwahrscheinlich ist.

So oder so ist die Tatsache, dass Fremde einen Zoom-Nutzer ungewollt in ein Web-Meeting mit aktiver Kamera zwingen können, wohl schlimm genug. Betroffene Nutzer sollten den auf Port 19421 laufenden Server-Prozess beenden und dann das versteckte Verzeichnis .zoomus in ihrem Nutzer-Verzeichnis löschen. Wer danach ein leeres .zoomus-Verzeichnis an der selben Stelle anlegt, sollte eine Neuinstallation des gefährlichen Web-Servers verhindern. (fab)