Zoom: Videokonferenz-App besitzt kritische Sicherheitslücken

Sven Bauduin
55 Kommentare
Zoom: Videokonferenz-App besitzt kritische Sicherheitslücken
Bild: Zoom Video Communications

In direkter Folge der Entwicklungen und Maßnahmen rund um die Ausbreitung des Coronavirus arbeiten viele Menschen mittlerweile im Home Office und sind auf verlässliche Kommunikationssoftware angewiesen. Extrem populär ist derzeit Zoom, jetzt fällt die Videokonferenz-App erneut durch eine gravierende Sicherheitslücke auf.

Sicherheitslücken und Bedenken häufen sich

Sicherheitsexperten wie Tavis Ormandy von Googles Project Zero äußern mehr und mehr Bedenken gegen den Einsatz der Zoom-App, denn die Software erkennt neben gewöhnlichen URLs auch UNC-Links wie beispielsweise den Programmspeicherort gewöhnlicher Apps wie WordPad („\Windows NT\Accessories\wordpad.exe“). Damit können Angreifer auch Schadsoftware auf dem System ihres Opfers ausführen.

Travis Ormandy selbst zeigte am Beispiel des Windows-Taschenrechners, wie sich Programme über Zoom ausführen lassen. Auch weitere Sicherheitsforscher weisen auf diese „UNC path injection“ via Zoom hin und warnen vor den Risiken.

Unter macOS begünstigt der Installer von Zoom sogar eine „feindliche Übernahme“ der Kamera und Root-Rechte, so Patrick Wardle vom Objective-See's Blog.

Wie die New York Times berichtet, überprüft zur Zeit auch die New Yorker Staatsanwältin die Zoom-App hinsichtlich Datenschutz und Sicherheit.

Nicht der erste große Fehltritt

In Zeiten von COVID-19 ist eine verlässliche und sichere Videokonferenz-App für viele Berufstätigen im Home Office, aber auch für das Aufrechterhalten sozialer Kontakte in Familie, Freundeskreis oder Hobby unabdingbar. Zoom ist bereits vor einer Woche negativ aufgefallen, denn die App soll heimlich Daten an Facebook übertragen und das ganz ohne Zustimmung des Nutzers – selbst wenn er kein Konto bei dem Sozialen Netzwerk besitzt.

So können Audio-, Video-, Transkript- und Chat-Daten von Administratoren eingesehen werden, die zudem Zugriff auf Analyse-, Freigabe- und Cloud-Berechtigungen besitzen. Mit der aktuellen Datenschutz-Grundverordnung (DSGVO), die dem Datenschutz in der EU dient, ist Zoom nicht vereinbar.

Sicherheitsexperten raten dringend davon ab, Zoom nach aktuellem Stand zu nutzen und bis auf Weiteres auf Alternativen wie Skype oder Microsoft Teams auszuweichen.

Nvidia GTC 2024 (18.–21. März 2024): ComputerBase ist vor Ort!