Zoom wird seit Wochen von neuen Nutzern überrannt, da die Corona-Pandemie immer mehr Menschen dazu zwingt, von zuhause aus zu arbeiten. Das schlagende Argument des Skype-Rivalen sind die nahezu reibungslos funktionierenden Videoanrufe und Videokonferenzen. Egal ob mit zwei oder 100 Personen, egal ob am PC oder Smartphone, es funktioniert. Und zwar so einfach, dass es jede und jeder nutzen kann (sogar Boris Johnson).
>> Coronavirus: Alle News im Liveticker
Darum zoomen längst nicht nur Unternehmen: Auch Schulen, der Jassverein und die Yoga-Gruppe haben während des Corona-Lockdowns die Chat-App für sich entdeckt.
Zur Verdeutlichung: Noch im Dezember 2019 haben maximal 10 Millionen Menschen pro Tag ein Zoom-Meeting abgehalten, nun seien es über 200 Millionen, sagt Firmenchef Eric Yuan. Seit Wochen steht die App unangefochten auf Platz 1 in den App-Stores. Zoom boomt, weil es gratis und bequem ist. Aber die Videokonferenz-Software erweist sich immer mehr als Albtraum für die Sicherheit und Privatsphäre.
IT-Experten nennen Zoom «ein Datenschutz-Desaster» und «grundlegend korrupt». Die Anzahl der Sicherheitsprobleme mache Zoom so schlimm wie Malware (bösartige Software), sagt Arvind Narayanan, Informatik-Professor an der Universität Princeton.
Warum, zeigt die Chronologie der Zoom-Fails.
Zooms Sicherheit- und Datenschutzprobleme haben Konsequenzen: Wegen Sicherheitsbedenken fordert New York die Schulen auf, «so bald wie möglich von der Verwendung von Zoom Abstand zu nehmen». Die Schulbehörden empfehlen stattdessen die Alternative Microsoft Teams, das die gleichen Funktionen mit geeigneten Sicherheitsmassnahmen habe. Davon betroffen sind 1,1 Millionen Schüler in über 1800 Schulen.
Mitte März hatten Datenschützer vor Zooms sogenanntem «Aufmerksamkeitstracking» gewarnt. Dabei handelt es sich um eine Funktion, die dem Ersteller eines Video-Meetings zeigt, welche Teilnehmer das Video-Fenster aktiv haben. Vorgesetzte können so beobachten, welche Mitarbeiter ihre Präsentation aufmerksam verfolgen. Nach diversen negativen Medienberichten gab Zoom am 2. April bekannt, dass man das umstrittene Feature dauerhaft entferne.
Eine Analyse der «New York Times» zeigt, dass Zoom beim Start eines Video-Meetings automatisch die Namen und E-Mail-Adressen der Teilnehmer an ein Firmensystem schickte, das diese Daten mit ihren LinkedIn-Profilen abglich. Diese Data-Mining-Funktion erlaubte es bestimmten Zoom-Nutzern während einer Videokonferenz heimlich andere Teilnehmer auszuschnüffeln. Die betroffenen Teilnehmer bekamen davon nichts mit. Die Software war laut NYT sogar in der Lage, Personen, die sich unter einem Pseudonym bei Zoom anmeldeten, mit ihrem LinkedIn-Profil abzugleichen.
Until today, a feature on Zoom allowed some participants to access LinkedIn profile data about other users — without Zoom asking for their permission or even notifying them that someone else was snooping on them https://t.co/urH4nn7EFA
— The New York Times (@nytimes) April 2, 2020
Zoom und LinkedIn arbeiteten offenbar zusammen, da nur Zoom-Nutzer, die einen kostenpflichtigen LinkedIn-Service nutzten, die Schnüffel-Funktion zur Verfügung hatten. Konfrontiert mit der Recherche sagten die beiden Firmen, man werde das Feature deaktivieren.
Angreifer können über zwei Lücken in der Mac-Version von Zoom die Kontrolle über Apple-Computer übernehmen, inklusive Webcam und Mikrophon. Hacker, die physischen Zugriff auf ein Gerät haben, erhalten so vollen Zugang (Root-Zugriff) auf den Mac und könnten beispielsweise Spionageprogramme installieren, schreibt der renommierte IT-Sicherheitsexperte Patrick Wardle. «Wenn Ihnen Ihre Sicherheit und Ihre Privatsphäre am Herzen liegen, hören Sie vermutlich auf, Zoom zu verwenden», meint der frühere NSA-Hacker.
Zoom sagt, man habe die von Wardle gemeldete Schwachstelle inzwischen mit einem Update behoben. Also updaten!
In der Windows-Version von Zoom klafft eine Lücke, die es Hackern unter gewissen Bedingungen ermöglicht, die Kontrolle über Windows-Geräte zu erlangen. Das heisst: Angreifer können durch das Verschicken spezieller Links im Zoom-Chat an das Windows-Passwort des Opfers gelangen und so auch Malware auf dem Zielrechner ausführen, wenn das Opfer den Link im Chat anklickt.
Zoom hat die Lücke inzwischen geschlossen. Also updaten!
Ende März hat Zoom die E-Mail-Adressen und Fotos von Tausenden Nutzern an Fremde weitergegeben. Das Problem: Zoom hat die betroffenen Nutzer fälschlicherweise so behandelt, als gehörten sie alle zum gleichen Unternehmen.
Normalerweise gruppiert Zoom Kontakte, die in der gleichen Firma arbeiten, in einen Firmen-Ordner. So lassen sich die Arbeitskontakte mit Name, E-Mail-Adresse und Profilfoto einsehen, um direkt mit ihnen in Kontakt zu treten. Durch einen Fehler wurden nun einige Zoom-Nutzer, die sich mit einer privaten E-Mail-Adresse registriert hatten, mit Tausenden von anderen Personen zusammengelegt, als ob sie alle für dasselbe Unternehmen arbeiten würden. Ihnen wurden darauf gänzlich fremde Personen als Kontakte angezeigt.
Die Generalstaatsanwältin des US-Bundesstaats New York, Letitia James, leitet eine Untersuchung zum Datenschutz bei Zoom ein. Sie wirft dem kalifornischen Tech-Unternehmen vor, nur langsam auf Sicherheitsprobleme reagiert zu haben.
Am vergangenen Montag reichte ein US-Nutzer der Videokonferenz-Software eine Sammelklage ein. Grund: Heimliche Weitergabe von Nutzerdaten an Facebook. Denn bis Ende März schickte Zoom bei jedem Start der iOS-App gewisse Daten des genutzten iPhones an Facebook – auch wenn der Zoom-Nutzer gar kein Facebook-Konto hat.
Zoom hat das laut eigenen Angaben unbeabsichtigte Tracking nach mehreren Medienberichten zugegeben und den Facebook-Tracker aus der iOS-App entfernt.
Zoom wirbt mit einer besonders sicheren Ende-zu-Ende-Verschlüsselung, die es so aber gar nicht gibt. Dies machte die Enthüllungs-Plattform The Intercept publik. Zwar sind Audio- und Videogespräche über Zoom verschlüsselt, also für Angreifer nicht ohne Weiteres abhörbar, aber Zoom selbst könnte trotzdem mitlauschen (und Informationen zum Beispiel an Behörden weitergeben). Per Definition handelt es sich also nicht um eine Ende-zu-Ende-Verschlüsselung, sondern um eine weniger umfassende Transportverschlüsselung (TLS).
Kurz gesagt: Zoom hat den Begriff Ende-zu-Ende-Verschlüsselung wohl aus Marketinggründen kurzerhand neu definiert, um den Nutzern eine Sicherheit vorzugaukeln, die es so nicht gibt.
Auf Nachhaken von The Intercept sagte Zoom, dass eine Ende-zu-Ende-Verschlüsselung bei Video-Meetings derzeit nicht möglich sei. Man entschuldige sich für die entstandene «Verwirrung».
Beim sogenannten Zoombombing machen sich Trolle einen Spass daraus, beispielsweise pornografische oder rassistische Inhalte in fremde, nicht per Passwort geschützte Videokonferenzen einzuspielen. Selbst das FBI warnt inzwischen davor.
So wurden allein in den USA und England in den letzten Tagen mehrere Fälle bekannt, in denen Schulstunden und Zoom-Gottesdienste mit Beschimpfungen und dem Vorzeigen von Nazi-Symbolen gestört wurden.
Zoom ermöglicht es jedem, seinen Bildschirm für die anderen Teilnehmer eines Video-Meetings freizugeben. Klinkt sich ein Störefried in ein Zoom-Meeting ein, kann er allen anderen seinen Bildschirm zeigen, auf dem beispielsweise ein pornografisches Video läuft. Manchmal geschieht dies, wenn Teilnehmer den Link zum Online-Meeting (absichtlich oder aus Versehen) öffentlich freigeben. Das muss aber längst nicht immer der Grund sein: Für Hacker ist es ein Leichtes, selbst gültige Zoom-Meeting-Links zu generieren und sich so in fremde Videochats einzuschleusen.
Zoom versuchte das Problem schon früher mit mehreren Massnahmen zu verhindern. Beispielsweise ist das Scannen nach nicht-passwortgeschützten Videokonferenzen seit Januar erschwert. Nun aber zeigen IT-Experten, dass sich Zooms neue Sicherheitsmassnahmen weiterhin aushebeln lassen.
Automated Zoom conference meeting finder 'zWarDial' discovers ~100 meetings per hour that aren't protected by passwords. The tool also has prompted Zoom to investigate whether its password-by-default approach might be malfunctioning https://t.co/dXNq6KUYb3 pic.twitter.com/h0vB1Cp9Tb
— briankrebs (@briankrebs) April 2, 2020
zWarDial ist ein automatisiertes Tool von IT-Sicherheitsforschern zum Auffinden von nicht passwortgeschützten Zoom-Meetings. Nach Angaben der IT-Experten findet das Programm durchschnittlich 110 nicht geschützte Meetings pro Stunde. Die Botschaft ist also klar: Wichtige Videokonferenzen immer mit Passwort schützen!
Die Sicherheitsforscher schreiben, sie hätten tausende ungeschützte Meetings gefunden, bei denen sie sich einwählen könnten. Darunter seien auch Grosskonzerne und Banken.
Zoom hat auf das Problem reagiert: Bei Schulstunden mit Zooms Videochat kommen die Teilnehmer nun standardmässig zunächst in den sogenannten Warteraum. So will Zoom verhindern, dass Trolle direkt in Online-Schulstunden platzen.
Wer Zoom auf dem Mac herunterlädt, wird feststellen, dass sich das Programm quasi von alleine installiert und sich vollen Zugriff auf das System erschleicht. Zoom nutzt dazu die gleichen Tricks wie Malware.
Das heisst: Die Installationsdatei von Zoom auf dem Mac verwendet Skripte, um das Programm nach einem Klick direkt zu installieren. Hat der Nutzer keine Admin-Rechte, zeigt Zoom dem Nutzer ein Passwortfenster an, das sich als Betriebssystem-Eingabeaufforderung ausgibt.
If the App is already installed but the current user is not admin, they use a helper tool called “zoomAutenticationTool” and the AuthorizationExecuteWithPrivileges API to spawn a password prompt identifying as “System” (!!) to gain root (including a typo). pic.twitter.com/gp9DVCoVCm
— Felix (@c1truz_) March 30, 2020
IT-Experte Felix Seele beschreibt Zooms zwielichtiges Vorgehen wie folgt: «Die Anwendung (Zoom) wird installiert, ohne dass der Benutzer seine endgültige Zustimmung gibt, und eine höchst irreführende Eingabeaufforderung wird verwendet, um Root-Rechte (vollen Zugang zum System) zu erlangen. Die gleichen Tricks, die auch von macOS-Malware verwendet werden.»
Das sieht so aus:
Zoom hat nach dem öffentlichen Pranger auf Twitter rasch reagiert und am Donnerstag ein Update veröffentlicht, das diese fragwürdige Installationsmethode verhindert.
Dass Zoom Sicherheitsprobleme hat, ist auch Elon Musk nicht verborgen geblieben. Sein Raumfahrtunternehmen SpaceX hat den Mitarbeitern die Verwendung der Videokonferenz-App Zoom untersagt. In einer E-Mail vom 28. März teilte SpaceX der Belegschaft mit, dass der Zugriff auf Zoom mit sofortiger Wirkung deaktiviert sei. Als Begründung gibt die Firma «erhebliche Datenschutz- und Sicherheitsbedenken» an.
Auch die NASA untersagt ihren Mitarbeitern die Zoom-Nutzung.
Recherchen des Onlinemagazins Motherboard von letzter Woche zeigten, dass die iOS-App von Zoom bis Ende März heimlich Daten an Facebook weitergab, selbst wenn man kein Facebook-Konto hat.
Zoom hat den Facebook-Tracker inzwischen per App-Update entfernt und sich entschuldigt. Die Firma hat zudem ihre Datenschutzrichtlinien überarbeitet und schreibt, dass Inhalte von Chats und Konferenzen nicht zu Werbezwecken analysiert oder Daten über Zoom-Nutzer an Dritte weiterverkauft würden.
Zoom wurde insbesondere für seine Funktion «Aufmerksamkeitsverfolgung» kritisiert, die es einem Meeting-Leiter ermöglicht zu sehen, ob andere Teilnehmer das Video-Fenster nicht mehr im Vordergrund haben, sprich potenziell nicht aufmerksam sind. Konkret wird dem Konferenz-Leiter angezeigt, welche Teilnehmer das Video-Fenster länger als 30 Sekunden weggeklickt haben.
Dieses Aufmerksamkeits-Tracking ermöglichte auch Lehrern, die ihren Bildschirm teilen, zu kontrollieren, ob die Schüler zuhause wirklich einer Schulstunde folgen.
In den USA warnte die NGO Electronic Frontier Foundation (EEF) bereits am 19. März vor Zooms Überwachungsfunktionen. Anfang April, nach unzähligen Medienberichten, entfernte Zoom das kontroverse Feature.
Ende Januar machte die IT-Sicherheitsfirma Check Point bekannt, «dass ein Angreifer eine lange Liste von Zoom-Meeting-IDs (z.B. zoom.us/j/93XXX9XXX5) generieren und automatisiert schnell überprüfen kann, ob eine entsprechende Meeting-Adresse gültig ist oder nicht». Hacker können so Zugang zu Zoom-Meetings erhalten, die nicht passwortgeschützt sind. Laut Check Point hatte man Zoom bereits am 22. Juli 2019 über die Sicherheitsmängel informiert. Zwar führte Zoom danach zahlreiche Verbesserungen ein, aber Angreifer können nach wie vor gültige Meeting-IDs generieren.
Über eine Sicherheitslücke in Zoom konnten Angreifer auf Millionen Webcams von Mac-Nutzern zugreifen. Selbst nach der Deinstallation der Software war dies weiterhin möglich. Da die Lücke nach mehreren Monaten noch immer nicht geschlossen war, sah sich Apple schlussendlich gezwungen, mit einem stillen System-Update den ungewollten Zugriff auf die Webcam zu sperren.
Die Sicherheitspanne wurde möglich, da Zoom heimlich einen lokalen Webserver auf den Mac-Rechnern einrichtete, der selbst nach der Deinstallation von Zoom auf dem Computer verblieb. Das heisst: «Besucht der Nutzer eine präparierte Webseite, kann diese Befehle an den lokalen Server übergeben und den Nutzer ohne dessen Einwilligung zu einer Videokonferenz hinzufügen – inklusive des Livestreams von seiner Webcam», erklärt das deutsche Techportal golem.de.
Auch dieses Beispiel zeigt: Zoom legt das typische Verhalten von Schadsoftware an den Tag, die um jeden Preis auf einem «befallenen» Gerät verbleiben will.
This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf
— Matt Haughey (@mathowie) July 9, 2019
Zoom wollte übrigens, dass der IT-Experte, der die Lücke gemeldet hatte, eine Geheimhaltungsvereinbarung unterschreibt, die ihn daran gehindert hätte, Einzelheiten der Schwachstelle preiszugeben. Er weigerte sich.
Zoom wird ein Opfer seines eigenen Erfolgs. Mit Millionen neuen Nutzern kommen auch die Probleme, respektive sie werden einfach sichtbar: Zoom steht nun im Fokus der Sicherheitsforscher und Medien. Dadurch steigt auch der Druck, Datenschutz und Sicherheit endlich ernst zu nehmen.
Die neue Popularität habe «unvorhergesehene Probleme mit unserer Plattform» zu Tage gefördert, räumte Zoom-Chef Eric Yuan in einem Blogeintrag am Donnerstag ein. Gemeint ist etwa das Zoombombing-Phänomen. Man habe daher Richtlinien veröffentlicht, wie unerwünschte Gäste daran gehindert werden können, in Videokonferenzen reinzuplatzen.
Man werde zudem alle Arbeiten an neuen Funktionen pausieren und sich auf die Ausmerzung der Sicherheitsprobleme konzentrieren, die in den letzten Tagen und Wochen von IT-Sicherheitsexperten aufgedeckt wurden. Dem Unternehmen dürfte die Arbeit nicht so rasch ausgehen.
Zoom hat aktuell die stabilste und benutzerfreundlichste Videokonferenz-Software und so die Konkurrenz abgehängt. Nun muss es auch in die Sicherheit investieren. Die Reaktion von Yuan lässt hoffen, dass er dies verstanden hat.
Und falls nicht, sollten wir uns vielleicht einfach abmelden.
Zoom hat jeden Monat Millionenkosten für: Personal, Hosting, Miete usw.
Irgendwie muss Geld reinkommen...
Hey! Das sind Programmierer die diese App aufgebaut haben. Solche Leute haben Ahnung in dem was sie da machen. Wenn das Programm so programmiert worden ist wie oben beschrieben, dann ist es reine Absicht!!! Und kein ein Fehler. Diese App verdient damit Geld. Was aus euren Augen wie ein Fehler aussieht, ist bei Zoom so gewollt.