Der Anbieter Zoom hat gerade einen sprunghaften Anstieg seiner Nutzerzahlen bekannt gegeben – Corona-Krise lässt grüßen. Gleichzeitig machen die Clients für Windows und für macOS sicherheitstechnische Probleme.
Anzeige
Zoom Video Communications ist ein US-amerikanisches Unternehmen mit Sitz in San Jose, Kalifornien. Es bietet Fernkonferenzdienste an, die Videokonferenzen, Online-Besprechungen, Chat und mobile Zusammenarbeit kombinieren.
Nutzer auf 200 Millionen angestiegen
Microsoft brüstet sich ja damit dass die Nutzerzahlen von Teams von 32 auf 44 Millionen angestiegen sei (siehe Microsoft Teams hat 44 Millionen DAUs – und es klemmt). Bei Skype sieht es noch bescheidener aus. Gearde ist mir nachfolgende Tweet unter die Augen gekommen, der die Nutzerzahlen von Skype und Zooms vergleicht.
Zoom's new numbers really highlight Microsoft's missed opportunity with Skype.
daily users before coronavirus:
Skype: 23 million
Zoom: 10 milliondaily users after coronavirus:
Skype: 40 million
Zoom: 200 millionhttps://t.co/9kd3uzzdAR— Tom Warren (@tomwarren) April 2, 2020
Sieht so aus, als ob Zoom Microsoft gerade im Bereich der Videotelefonie die Butter vom Brot holt.
Zoom und die macOS-Probleme
Beim Zoom-Client für macOS staunen die Sicherheitsfachleute über Tricks, die der Installer so nutzt.
Ever wondered how the @zoom_us macOS installer does it's job without you ever clicking install? Turns out they (ab)use preinstallation scripts, manually unpack the app using a bundled 7zip and install it to /Applications if the current user is in the admin group (no root needed). pic.twitter.com/qgQ1XdU11M
— Felix (@c1truz_) March 30, 2020
Zoom installiert sich auf Macs, bevor der Nutzer sein Okay gegeben hat. Bei heise wurde das Ganze in einem deutschsprachigen Artikel aufbereitet und erklärt. In diesem 9to5mac.com-Beitrag wird erklärt, wie man einen Mac übernehmen und auf dessen Kamera sowie Mikrofon zugreifen kann.
Zoom-Windows-Client kann Anmeldedaten stehlen
Auch der Windows-Client hat ein massives Sicherheitsproblem. Die Chat-Funktion des Zoom-Windows-Client ist anfällig für UNC-Pfadinjektionen. Dies kann es Angreifern ermöglichen, Windows-Anmeldeinformationen von Benutzern zu stehlen, die auf einen Link klicken.
Anzeige
Zoom Client Leaks Windows Login Credentials to Attackers – by @LawrenceAbramshttps://t.co/POhsJ8O19w
— BleepingComputer (@BleepinComputer) April 1, 2020
Bleeping Computer geht in obigem Tweet und weiteren Folge-Tweets auf diese Frage ein und behandelt das Ganze in diesem Artikel.
Article updated with statement from Zoom that they are addressing the UNC issue. Added further information on how DOS device paths can be used to execute a command without showing a MoTW prompt as discovered by @taviso. pic.twitter.com/4pfRRkWNf7
— BleepingComputer (@BleepinComputer) April 2, 2020
In obigem Tweet gibt Bleeping Computer aber Hinweise, wie man das entschärfen kann und ergänzt, dass Zoom das Problem fixen will. Update: Offenbar hat Zoom diese Schwachstelle per Update behoben (siehe).
Feature-Entwicklung eingestellt, Fokus auf Sicherheit
Vom Zoom-CEO erreichte mich gerade eine E-Mail, dass die Firma aktuell die Weiterentwicklung der Clients um neue Funktionen eingestellt hat und sich auf Sicherheit sowie Privatsphäre konzentriert. Hier der Text:
Sehr geehrte Damen und Herren,
Zoom wurde gebaut, um schnelle und nutzerfreundliche Videomeetings zu ermöglichen – und ist über Nacht zum Kommunikationstool für die ganze Welt geworden. Im März zählte Zoom mehr als 200 Millionen Nutzer weltweit. Viele von ihnen schreiben derzeit über Zoom und berichten über die vielfältigen Einsatzszenarien, wie die kostenlose Nutzung für Schulen oder die Möglichkeit, Events und Konferenzen in den virtuellen Raum zu verlagern.
In den letzten Tagen haben wir auch vermehrt Berichte gesehen, die das Thema Datenschutz aufgreifen. Die Sicherheit der Nutzerdaten sowie der Meetings hat für Zoom oberste Priorität. Hier passiert gerade sehr viel auf Seiten von Zoom – beispielsweise wurde die Privacy Policy komplett überarbeitet und es wurden Anpassungen vorgenommen und Empfehlungen veröffentlicht, um das Thema „Zoombombing" zu adressieren.
In diesem Zusammenhang möchten wir Sie auch auf den offenen Brief von Zoom-CEO Eric Yuan aufmerksam machen, den er gestern veröffentlicht hat. Darin geht er auf Zooms Strategie in Bezug auf Datenschutz und Sicherheit ein und gibt einen Überblick über aktuelle Maßnahmen. Unter anderem heißt es:
- Zoom friert die weitere Entwicklung von Features mit sofortiger Wirkung ein, um alle Ressourcen auf die Verbesserungen im Bereich Security und Privacy zu fokussieren.
- Zusätzlich hat Zoom unabhängige Experten mit einer umfassenden Untersuchung seiner Lösung beauftragt, um mögliche Risiken aufzudecken.
- In einem Transparenzbericht werden künftig zudem Informationen zu Anfragen nach Daten, Aufzeichnungen oder Inhalten veröffentlicht.
Eric wird ab nächster Woche jeden Mittwoch um 19 Uhr CET (10 Uhr Pacific Time) ein Webinar veranstalten, um über die neuesten Entwicklungen im Bereich Sicherheit und Datenschutz zu informieren. Hier können Sie sich dafür registrieren.
Ähnliche Artikel:
Zoom kappt Datentransfer zu Facebook in iOS-App
Apple aktualisiert macOS, um Zoom-Lücke zu schließen
Zoom-Lücke: Auch RingCentral und Zhumu betroffen
Zoom for macOS weiter angreifbar?
Mac-Update schließt Zoom-Lücke, Apple Watch: Walki Talkie-App deaktiviert
2015
https://www.tagesschau.de/ausland/zoom-101.html
"Jetzt hat sich die New Yorker Staatsanwaltschaft eingeschaltet."