Die Corona-Pandemie erfordert von vielen Menschen viel Kreativität: Wie gestaltet sich der Unterricht zuhause? Wie kann der Sportkurs weitergehen? Wie bespricht man sich mit allen Kollegen? Die naheliegende Lösung: Alles wird online abgewickelt. Passende Apps und Programme gibt es dafür viele – unter anderem auch Zoom.
Der Anbieter ermöglicht es, dass tausende Menschen zeitgleich an einer Konferenz oder Ähnlichem teilnehmen. Doch ausgerechnet in Zeiten wie diesen, wo Menschen solche Tools vielfach gebrauchen, macht sich bei Zoom eine massive Sicherheitslücke bemerkbar.
Zoom Sicherheitslücke: Hacker haben einfachen Zugriff
Das Fachportal Bleeping Computer deckte jüngst auf, dass Hacker es einfach haben, auf die Videokonferenz bei Zoom zuzugreifen. Dafür verschicken Unbefugte einen speziellen Link im jeweiligen Chat der Konferenz und gelangen so an das Windows-Passwort der Opfer. Theoretisch könnten so auch Schadprogramme auf fremden Computern ausgeführt werden. Voraussetzung: Das Opfer klickt den zuvor verschickten Link im Chat an.
Laut Bleeping Computer verwandelt Zoom dabei UNC-Pfade in Links. Durch die sogenannten „Universal Naming Convention“-Pfade kann man auf einen Pfad im Netzwerk zugreifen, ohne das der Laufwerksbuchstabe angegeben sein muss. Wird dieser Pfad in einen Link umgewandelt, begreift Windows das als Befehl und meldet sich folgend auf einem Server sowie einem spezifischen Ordner an. Somit kann danach zum Beispiel Malware oder andere Dateien heruntergeladen werden.
Das Problem: Der Name und das Passwort werden ebenfalls heruntergeladen. Auch wenn diese sensiblen Daten verschlüsselt sind, sollen Angreifer sie mithilfe von Programmen einfach in einen Klartext verwandelt können.
Zoom-App nicht sicher genug
Daneben geriet Zoom ebenfalls mit seiner App in die Kritik. Der Grund: Die iOS-App gab einige Informationen über das benutzte Gerät an Facebook weiter. Dazu zählten Angaben wie die Display-Größe des Smartphones, der noch freie Speicherplatz sowie das Modell. Laut Zoom soll die Weitergabe inzwischen unterbunden sein.
Weiter können Fremde in Zoom-Konferenzen eintreten, wenn das jeweilige Telefonat nicht auf privat gestellt ist und der Angreifer den Link zur Konferenz erhält. Diese und andere Datenschutz-Probleme haben nun zur Folge, dass Zoom ins Visier der New Yorker Staatsanwaltschaft geraten ist, wie die „New York Times“ berichtet.
Zoom-CEO räumt Fehler ein
Wie Zoom-CEO Eric Yuan nun in einem Blogeintrag mitteilte, sollen die Sicherheitslücken inzwischen geschlossen sein. Zeitgleich räumt der Zoom-Chef fehlende Sicherheitsmaßnahmen ein. Wie es heißt, sei das Programm für den aktuellen Ansturm nicht gewappnet, wodurch sich bislang ungesehene Probleme bemerkbar machen.
Darüber hinaus arbeitet Zoom nicht mit einer kompletten Verschlüsselung. Das Tool garantiert die Verschlüsselung nur, wenn alle Konferenzteilnehmer sich über die Zoom-Software einwählen. Schaltet sich jedoch jemand per Telefonanruf dazu, hebelt sich die Verschlüsselung aus.
