Jetzt auch mobil Kommentieren!

Worst-Case bei Meeting-Software Zoom: 4 Mio. Webcams ungeschützt

Von John Woll am 09.07.2019 15:11 Uhr
3 Kommentare
Die Videokonferenz-Software Zoom ist vor allem im Business-Bereich weit verbreitet, vielleicht ist das der Grund, dass die Wellen rund um ein weitreichendes Sicherheitsproblem aktuell so hochschlagen. Webcams auf Macs können unbemerkt aktiviert werden, während Konferenzen ist auch das unbemerkte Beitreten möglich. Besonders schlimm: selbst nach Deinstallation bleibt ein Problem.

Schwerer kann eine Sicherheitslücke bei einer Konferenzsoftware fast nicht sein

Dass es durch Sicherheitslücken möglich wird, dass Webcams unbemerkt aktiviert werden, hat nach den ersten Meldungen für eine Welle von abgeklebten Notebook-Kameras gesorgt, heute haben einige Hersteller ihre Geräte sogar entsprechend mit physischen Klappen und andere Schutz-Lösungen ausgestattet. Jetzt gibt es lautes Rumoren rund um die Software Zoom, die vor allem im Business-Bereich für Videokonferenzen genutzt wird. Im Mac-Client steckt ein Fehler, der schwerwiegender wohl nicht sein könnte.

Wie ZDNet berichtet hatte der unabhängige Sicherheitsexperte Jonathan Leitschuh entdeckt, dass es der Mac-Client der Software möglich macht, aus dem Netz Kameras anderer Zoom-Nutzer zu aktivieren, wenn diese eine entsprechend manipulierte Webseite besuchen. Ein Hinweis, dass die Kamera aktiviert wurde, erfolgt dabei nicht. Bei Videokonferenzen ist es wegen des Fehlers außerdem möglich, unbemerkt beizutreten - gerade im Business-Umfeld sicher nah am Worst-Case-Szenario.

Und das war es noch nicht mit den unangenehmen Botschaften für Nutzer: Denn selbst wenn die Zoom-Software deinstalliert wird, verbleibt auf Mac-Systemen weiterhin der im Hintergrund aktive Webserver. Dieser macht es offenbar wiederum möglich, dass die Software ohne Zutun des Nutzers erneut installiert werden kann. "Eine App installiert zu haben, die einen Webserver mit komplett undokumentierter Schnittstelle auf meinem lokalen Rechner betreibt, fühlt sich für mich unglaublich zweifelhaft an", so Entdecker Leitschuh.

Zoom-Entwickler findet alles super

Leitschuh hatte die schwerwiegende Lücke bereits am 26. März an die Zoom-Entwickler gemeldet, diese hatten sich dann erst einmal 10 Tage Zeit genommen, um diese zu bestätigen. Ein Austausch in Bezug auf eine mögliche Lösung fand dann 18 Tage vor Ablauf der 90-Tage-Frist für eine Veröffentlichung statt. Laut Leitschuh waren die vorgestellten Ansätze aber lückenhaft, zum Stichtag der Veröffentlichung der Lücke hatte Zoom dann eine "schnelle Lösung" implementiert.

Auf den von Leitschuh klar als Ursache identifizierten lokalen Webserver will das Unternehmen aber bis heute nicht verzichten: es sei eine "legitime Lösung" um eine gute Nutzererfahrung zu ermöglichen, so Zoom gegenüber ZDNet. Leitschuh widerspricht vehement: "Ich glaube, um die Nutzer komplett zu schützen, muss die Localhost-Webserver entfernt werden."
whatsapp
Jede Woche neu: Top-News per E-Mail
3 Kommentare lesen & antworten
Verwandte Themen
Apple
Hoch © 2000 - 2019 WinFuture Impressum Datenschutz