Besuch einer manipulierten Webseite genügt
Videokonferenz-Software Zoom erlaubt unbemerkten Zugriff auf Mac-Kamera
Die besonders im Business-Umfeld eingesetzte Videokonferenz-Software Zoom weist offenbar heftige Schwachstellen auf. Ein Sicherheitsspezialist berichtet, dass von modifizierten Webseiten aus unbemerkt auf die Webcam eines Mac zugegriffen werden kann, auf dem Zoom installiert ist. Läuft eine Videokonferenz, so ist das unbemerkte Beitreten möglich..
This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf
— Matt Haughey (@mathowie) July 9, 2019
Konkret genügt es offenbar, wenn ein Zoom-Nutzer eine entsprechend modifizierte Webseite besucht, um Unbefugten den Aufbau einer Videoverbindung zu ermöglichen. Nutzer, die Zoom einmal installiert und danach wieder gelöscht hatten, sind dabei keinesfalls fein raus. Dem Bericht zufolge läuft auf dem Mac weiterhin ein Dienst, der das erneute Installieren der Software im Hintergrund und ohne Interaktion des Nutzers ermöglicht.
Im Zusammenhang mit dem Bekanntwerden der Schwachstelle wird massive Kritik an den Entwicklern von Zoom laut. Offenbar wurden diese bereits im März auf die Probleme hingewiesen und zeigten sich seither wenig engagiert, entsprechende Gegenmaßnahmen einzuleiten. Aus diesem Grund wurde der Fehler nach Ablauf der üblichen 90-Tage-Frist nun im Detail veröffentlicht, diese Maßnahmen soll den Druck auf den Anbieter der Software erhöhen.
Die Taktik geht nur ein Stück weit auf. Zoom hat ein einer Stellungnahme angekündigt, die Einstellungen der Software anzupassen. Die geplanten Maßnahmen lassen nach Angaben des Onlinemagazins The Verge jedoch stark zu wünschen übrig, so plane das Unternehmen nicht, die kritisierten Punkte generell anzugehen, sondern wolle Nutzern lediglich zusätzliche Einstellungen anbieten, um externe Aufrufe zu unterbinden. Zoom sehe die Möglichkeit zur automatischen Installation und dem damit verbundenen Start der Videoübertragung als „Komfort-Feature“.
Heißt unbemerkt auch, dass die grüne LED neben der Kamera aus bleibt? Diese ist meines wissens hardwaremäßig mit der Aktivierung der Kamera verknüpft?
Nein, ich ergänze das gleich noch oben. Soweit ich das verstehe, kann man sich unbemerkt in einen laufenden Videochat einklinken – da leuchtet die LED ja schon. Ob ein initialer Videoaufbau möglich ist, ist nicht klar erkennbar, ich denke aber eher nicht.
Das war auch mein Bedenken. Wenn das raus kommt wäre das ein Vertrauensbruch. Denn ein MacBook sieht nicht besser aus wenn es mit Tape bearbeitet wird.
Unbemerkt?
Lässt sich nach aktuellem Kenntnisstand auch die LED umgehen?
Das war auch die erste Frage die ich mir gestellt habe. Der Titel suggeriert das ja schon fast… Ein bisschen irreführend formuliert!
Wirklich schade. Normal war ich sehr begeistert von Zoom. Eine der wenigen Plattformen die es richtig gemacht haben bisher.
Das die Installation ein Komfort-Feature sein soll kann ich ja noch nachvollziehen. Aber das sie nichts zur Schwachstelle gesagt haben oder was wirklich dagegen unternehmen ist traurig …
Jetzt müsste man wissen, welcher Dienst deinstalliert werden muss
Ohne die LED einzuschalten? Diese wichtige Info fehlt mir hier…
Ich bleibe dabei. Software Fehler müssen wir Hardware Fehler angesehen werden und damit von Garantie bzw. Gewährleistung abgedeckt werden. Egal ob ein reines Software Produkt oder ein Hardware Produkt mit Software.
Eine Produkthaftung auf Software ist schon längst überfällig!
„Nutzer, die Zoom einmal installiert und danach wieder gelöscht hatten, sind dabei keinesfalls fein raus“
Das irritiert mich jetzt. Bei allen entfernten Anwendungen werden doch auch die Einwilligungen aus dem System gelöschten. D.h. beim erneuten Öffnen der Anwendung müsste der Zugriff auf die Kamera neu erfragt werden. So hatte ich das mehrfach bei verschiedener Software.
Wenn dem nicht so wäre bei der Software, dann wäre das auch eine Kritik seitens Apple.
Der Helper, der da scheinbar weiter läuft, hat ja eine andere Bundle-ID. Der wird ja auch keinen Zugriff auf die Kamera haben.
Fragen über Fragen…
Also für sowas habe ich null Verständnis! Null!
Wie kann ein Hersteller, der über solch eine schwerwiegende Sicherheitslücke informiert wird, es binnen 90 Tagen nicht schaffen das zu beheben?
Würde ich den Dienst nutzen, wäre er spätestens jetzt Geschichte.
Bei solchen Unternehmen wünsche ich mir wirklich, dass die pleite gehen.
„Keep the church in town“, sowas wünscht man keinem Unternehmen.
Dennoch finde ich auch den Umgang des Unternehmens mit der Bugmeldung eher fraglich.
Da hast du absolut recht gerade mit dem Fokus auf Businesskunden. Auch wir nutzen den Dienst für unser Business.
Eine tolle Alternative aus Deutschland ist http://www.edudip-next.com – Sicherheit und Datenschutz werden hier besonders groß geschrieben
@Torsten Dem kann ich nur zustimmen. Unsere Firma nutzt edudip schon viele Jahre und ist sehr zufrieden. Außerdem muss bei edudip nichts installiert werden!
installieren muss man bei Zoom übrigens auch nichts…gibt nur eine exe zum Download
Zoom hat ein Update bereitgestellt