Zoom wird erneut wegen schwerwiegender Sicherheitslücken kritisiert. Zum einen konnten Hacker kürzlich Windows-Konten über Zoom entführen. Jetzt scheinen die meisten Leute eine Videokonferenz ohne Passwort zu haben, die unsicher ist.
Das Videokonferenz-Tool Zoom hat seit Beginn der Coronacrisis-Epidemie eine enorme Popularität erlangt. Gleichzeitig nahmen Angriffe von Cyberkriminellen und Kritik von Datenschutzbeauftragten zu. Dementsprechend sagte Zoom-Chef Eric Yuan am Mittwoch, dass sich das Unternehmen in den kommenden Monaten auf Sicherheitspatches und Fehlerbehebungen konzentrieren werde. Die Entwicklung neuer Funktionen für die App wird vorerst ausgesetzt. Zwei aktuelle Sicherheitslücken zeigen, wie wichtig dies ist.
Die Zoomlücke ermöglichte den Zugriff auf vertrauliche Daten
In einer Sicherheitslücke sollen Hacker die Möglichkeit gehabt haben, auf vertrauliche Daten und E-Mails zuzugreifen, bis die Lücke am Mittwoch geschlossen wurde. Der IT-Sicherheitsexperte Matthew Hickey sagte zuvor, er habe es geschafft, den Benutzernamen und das Windows-Passwort eines Zoom-Benutzers abzufangen. Er hatte dies unbemerkt auf einen von ihm kontrollierten Server übertragen können. Der Angriff sei ziemlich einfach durchzuführen, sagte Hickey.
Hickey, der für das IT-Unternehmen Hacker House arbeitet, konnte diesen Angriff innerhalb von 30 Minuten wiederholen. Benutzer mit Firmencomputern waren besonders gefährdet.
Die meisten Leute verwenden Zoom, um eine Videokonferenz ohne Passwort abzuhalten
Der beliebte Sicherheitsforscher Brian Krebs berichtet ein weiteres Problem auf seinem Blog Krebsonsecurity. So genannte Zoom-Bombenangriffe seien vor allem wegen unzureichenden Passwortschutzes möglich. Zoom-Bombenangriffe beziehen sich auf den unerwünschten Eintritt von Fremden in eine Zoom-Konferenz.
Der automatische Zoom-Konferenz-Meeting-Finder ‘zWarDial’ erkennt ~ 100 Meetings pro Stunde, die nicht durch Passwörter geschützt sind. Das Tool hat Zoom außerdem aufgefordert, zu untersuchen, ob der standardmäßige Kennwortansatz möglicherweise fehlerhaft funktioniert https://t.co/dXNq6KUYb3 pic.twitter.com/h0vB1Cp9Tb
– briankrebs (@briankrebs) 2. April 2020
Laut Krebs soll das Z-War-Dial-Tool, das Zoom-Videokonferenzen erkennen kann, die nicht durch ein Passwort geschützt sind, derzeit etwa 100 solcher Besprechungen pro Stunde finden. Das Tool kann keine passwortgeschützten Zoom-Videokonferenzen finden. Das Problem liegt zum einen bei unaufmerksamen Benutzern, die vergessen, ihre Besprechung entsprechend abzusichern. Andererseits scheint es auch ein Problem mit Zoom zu geben. Weil das Tool eigentlich ein automatisches Passwort vergeben sollte – in vielen Fällen scheint dies laut Krebs nicht zu funktionieren.
