Besuch einer manipulierten Webseite genügt
Videokonferenz-Software Zoom erlaubt unbemerkten Zugriff auf Mac-Kamera
Die besonders im Business-Umfeld eingesetzte Videokonferenz-Software Zoom weist offenbar heftige Schwachstellen auf. Ein Sicherheitsspezialist berichtet, dass von modifizierten Webseiten aus unbemerkt auf die Webcam eines Mac zugegriffen werden kann, auf dem Zoom installiert ist. Läuft eine Videokonferenz, so ist das unbemerkte Beitreten möglich..
This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf
— Matt Haughey (@mathowie) July 9, 2019
Konkret genügt es offenbar, wenn ein Zoom-Nutzer eine entsprechend modifizierte Webseite besucht, um Unbefugten den Aufbau einer Videoverbindung zu ermöglichen. Nutzer, die Zoom einmal installiert und danach wieder gelöscht hatten, sind dabei keinesfalls fein raus. Dem Bericht zufolge läuft auf dem Mac weiterhin ein Dienst, der das erneute Installieren der Software im Hintergrund und ohne Interaktion des Nutzers ermöglicht.
Im Zusammenhang mit dem Bekanntwerden der Schwachstelle wird massive Kritik an den Entwicklern von Zoom laut. Offenbar wurden diese bereits im März auf die Probleme hingewiesen und zeigten sich seither wenig engagiert, entsprechende Gegenmaßnahmen einzuleiten. Aus diesem Grund wurde der Fehler nach Ablauf der üblichen 90-Tage-Frist nun im Detail veröffentlicht, diese Maßnahmen soll den Druck auf den Anbieter der Software erhöhen.
Die Taktik geht nur ein Stück weit auf. Zoom hat ein einer Stellungnahme angekündigt, die Einstellungen der Software anzupassen. Die geplanten Maßnahmen lassen nach Angaben des Onlinemagazins The Verge jedoch stark zu wünschen übrig, so plane das Unternehmen nicht, die kritisierten Punkte generell anzugehen, sondern wolle Nutzern lediglich zusätzliche Einstellungen anbieten, um externe Aufrufe zu unterbinden. Zoom sehe die Möglichkeit zur automatischen Installation und dem damit verbundenen Start der Videoübertragung als „Komfort-Feature“.