Videokonferenz-Tool Zoom: Mac-Installer mit 'Malware-Tricks'
Zoom installiert sich auf Macs schon, bevor der Nutzer sein Okay gegeben hat. Mit einem vermeintlichen Systemdialog sollen Root-Rechte erlangt werden.
Der derzeit in vielen Homeoffices verwendete Videokonferenzdienst Zoom wird immer kritischer beäugt, nun ist die Installationsroutine auf Macs in den Fokus gerückt: Die als Package (.pkg) ausgelieferte Zoom-App installiert sich nämlich schon, bevor der Nutzer dafür überhaupt sein Okay geben und die Installation selbst starten konnte. Möglich wird das mit einem Trick: Die gesamte Installation erfolgt durch Zweckentfremdung des Preinstall-Scripts – das eigentlich dafür gedacht ist, das System im Vorfeld der eigentlichen Installation zu überprüfen, etwa ob die Mindestvoraussetzungen erfüllt sind.
"System" fragt nach Admin-Passwort
Zoom nutzt das Preinstall-Skript, um die App sofort auf Macs zu installieren und den Installer anschließend abzuschießen, wie der altgediente Mac-Entwickler Cabel Sasser schreibt. Ist der Nutzer bei der Installation nicht mit einem Admin-Account auf dem Mac eingeloggt, fragt Zoom zur Erlangung der Root-Rechte dann Benutzernamen und Passwort eines Admins ab – und gibt sich dabei als "System" aus, wie der Sicherheitsforscher Felix Seele dokumentiert hat.
Das ganze Installationsprozedere sei nicht per se "bösartig", hinterlasse aber einen "bitteren Nachgeschmack". Der Dialog zur Erlangung der Root-Rechte sei allerdings "hochgradig irreführend", solche Tricks würden sonst von Mac-Malware verwendet, schreibt Seele.
Man habe es den Nutzern nur möglichst einfach machen wollen, konterte Zoom-Chef Eric Yuan auf Twitter. Man habe das so implementiert, "um die Zahl an Klicks auszubalancieren, die durch die Begrenzungen der Standard-Technologie erforderlich seinen", so Yuan – es sei nicht einfach, einem Zoom-Meeting auf Macs beizutreten, auch andere würden diese Methode verwenden.
Zoom-App schon länger in der Kritik
Im vergangenen Jahr hatte die Mac-Version von Zoom bereits für Aufsehen gesorgt, weil diese im Hintergrund einen verwundbaren Webserver installierte und diesen selbst nach einer Deinstallation auf dem System hinterließ. Apple löschte diesen schließlich über sein in das Betriebssystem integriertes Anti-Malware-Tools mit einem stillen Update von den Macs der Nutzern – ein bislang einmaliges Vorgehen. Auch damals verwies Zoom als Begründung darauf, dass man es den Nutzern möglichst einfach machen wolle.
t
Jüngst wurde bekannt, dass die Zoom-App auf iPhones und iPads Daten an Facebook überträgt, auch wenn man nicht per Facebook angemeldet ist. Zoom entfernte das entsprechende SDK erst nach Medienschelte. Für Kopfschütteln sorgt auch, dass der Videokonferenzdienst in Marketingmaterial von Ende-zu-Ende-Verschlüsselung spricht – einen solchen Schutz aber gar nicht anbietet. In den USA sind inzwischen erste Regulierer auf den Dienst aufmerksam geworden, darunter die New Yorker Generalstaatsanwaltschaft. (lbe)