Eine neue Zoom-Schwachstelle lässt private Daten an Fremde durchsickern

Startseite » Aktuelles

Symbol für die Lesezeit 4 Minute. lesen

Kalendersymbol Veröffentlicht am

by Anmol Mehrotra 

Veröffentlicht am

Teile diesen Artikel

Leser unterstützen MSpoweruser. Wir erhalten möglicherweise eine Provision, wenn Sie über unsere Links kaufen. Tooltip-Symbol

Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter

Zoom

Aufgrund der anhaltenden Coronavirus-Pandemie verlassen sich Unternehmen auf Apps für die Zusammenarbeit bei der Arbeit und Videokonferenzen wie Slack und Zoom. Während Zoom seinen neu entdeckten Ruhm genießt, war das Unternehmen auch Ziel von Angriffen und befasst sich mit Schwachstellen und Sicherheitsverletzungen.

Heute früh wir berichtet über eine Sicherheitslücke, die es jedem, mit dem Sie chatten, ermöglicht, Ihre Windows-Anmeldeinformationen zu stehlen. Jetzt, Schraubstock hat einen Bericht veröffentlicht, der einen weiteren Fehler in Zoom identifiziert. Laut Vice gibt Zoom E-Mail-Adressen und Benutzerfotos preis und erlaubt einigen Benutzern, einen Videoanruf mit Fremden zu initiieren. Dies liegt daran, wie die App mit Kontakten umgeht, von denen sie annimmt, dass sie für dieselbe Organisation arbeiten.

Anscheinend hat das Unternehmen eine Funktion namens „Firmenverzeichnis“, das es Benutzern ermöglicht, andere mit derselben Domäne hinzuzufügen, damit sie leichter zu finden sind und Personen anrufen können. Die Funktion war für Benutzer innerhalb einer Organisation gedacht, in der alle denselben Domänennamen verwenden. Die Software behandelt jedoch einige der privaten Domains so, als wären sie Teil eines Unternehmens, und fügt dem Pool Tausende zufälliger Personen hinzu, als ob sie alle für dasselbe Unternehmen arbeiten würden, und gibt ihre persönlichen Daten einander preis.

Der Benutzer, der Vice auf das Problem hingewiesen hat, sagte, er könne ihre vollständigen Namen, ihre E-Mail-Adressen, ihr Profilbild (falls vorhanden), ihren Status sehen und man könne sie per Videoanruf anrufen. Er bemerkte auch, dass sich ein Benutzer mit einer nicht standardmäßigen E-Mail-Adresse wie xs4all.nl, dds.nl und quicknet.nl anmelden muss, damit der Fehler ausgenutzt werden kann. Dies sind alles niederländische Internetdienstanbieter (ISPs), die E-Mail-Dienste anbieten.

Das Problem liegt in der Einstellung „Firmenverzeichnis“ von Zoom, die automatisch andere Personen zu den Kontaktlisten eines Benutzers hinzufügt, wenn sie sich mit einer E-Mail-Adresse anmelden, die dieselbe Domain teilt. Dies kann es einfacher machen, einen bestimmten Kollegen zum Anrufen zu finden, wenn die Domain zu einem einzelnen Unternehmen gehört. Aber mehrere Zoom-Benutzer geben an, dass sie sich mit persönlichen E-Mail-Adressen angemeldet haben, und Zoom hat sie mit Tausenden anderer Personen zusammengelegt, als ob sie alle für dasselbe Unternehmen arbeiteten, und ihre persönlichen Daten einander preisgegeben.

- Vize

Vice fand auch Fälle von anderen, die sich auf Twitter über dasselbe Problem beschwerten. Alle Benutzer haben sich mit niederländischen Nicht-Standard-E-Mail-Adressen angemeldet, und die App ging davon aus, dass sie Teil des Unternehmens waren.

https://twitter.com/JJVLebon/status/1242175850306580486

Niederländischer ISP XS4ALL als Antwort auf eine Beschwerde getwittert, „Das ist etwas, was wir nicht deaktivieren können. Sie könnten sehen, ob Zoom Ihnen dabei helfen kann.“ Ein anderer niederländischer ISP DDS teilte Vice mit, dass ihm das Problem bekannt sei, er aber nichts direkt von den Kunden gehört habe. Zoom hingegen gab gegenüber Vice folgendes Statement ab:

Zoom führt eine schwarze Liste von Domains und identifiziert regelmäßig proaktiv hinzuzufügende Domains. In Bezug auf die spezifischen Domänen, die Sie in Ihrer Notiz hervorgehoben haben, sind diese jetzt auf der schwarzen Liste.

- Zoomen

Darüber hinaus das Unternehmen auch auf einen Abschnitt der Website verwiesen wo Benutzer beantragen können, dass andere Domains aus der Firmenverzeichnisfunktion entfernt werden. Leider ist dies nicht das erste Mal, dass das Unternehmen mit heruntergelassenen Hosen erwischt wird. Bereits 2019 entdeckte ein Forscher einen Fehler, der es Hackern ermöglichte, ohne Wissen des Benutzers die Kontrolle über Webcams zu übernehmen.

Früher EFF wies darauf hin wie Hosts die Teilnehmer überwachen können und wissen, ob ein Fenster im Zoom-Fenster fokussiert ist oder nicht, und wenn Benutzer den Videoanruf aufzeichnen, können Zoom-Administratoren „auf den Inhalt dieses aufgezeichneten Anrufs zugreifen, einschließlich Video, Audio, Transkription und Chat-Dateien sowie Zugriff auf Freigabe-, Analyse- und Cloud-Management-Privilegien“. Letzte Woche war Zoom beim Teilen von Daten mit Facebook erwischt und erst gestern wir bedeckt Zooms falsche Behauptungen über Ende-zu-Ende-Verschlüsselung bei Gruppenanrufen.

Update:

In den nächsten 90 Tagen wird Zoom alle seine Ressourcen nutzen, um Sicherheits- und Datenschutzprobleme besser zu identifizieren, anzugehen und proaktiv zu beheben. Zoom wird also in den nächsten 3 Monaten keine neuen Funktionen hinzufügen. Es wird auch eine umfassende Überprüfung mit externen Experten und repräsentativen Benutzern durchführen, um die Sicherheit seines Dienstes zu verstehen und zu gewährleisten. Erfahren Sie mehr über diese Ankündigung hier.

Mehr zu den Themen: Sicherheitslücke, Zoom

Anmol Mehrotra

Anmol Mehrotra Schild

Android- und Windows-News-Reporter

Anmol berichtet über Neuigkeiten zu Android und Windows. Er ist ein Tech-Autor mit über einem Jahrzehnt Erfahrung.

Hinterlassen Sie uns einen Kommentar

E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind MIT * gekennzeichnet. *