Die Videokonferenzsoftware Zoom weist gravierende Schwachstellen auf, die weit über die eines versteckten Webservers auf dem Mac hinausgehen. Es ist alarmierend, dass Webseiten, die Sie besuchen, potenziell ohne Ihre Zustimmung Ihre Webcam aktivieren und Sie filmen können. Dies geschieht durch einen einfachen Klick auf einen speziell präparierten Link. Dieses Problem betrifft sowohl macOS als auch Windows.
Entgegen anfänglicher Annahmen, dass das Problem auf macOS beschränkt sei, sind auch Windows-Systeme gefährdet. Wenn Zoom so konfiguriert ist, dass die Kamera standardmäßig bei Meeting-Beitritt aktiviert wird, kann ein eingebetteter Zoom-Link auf einer Webseite ausreichen, um die Aufnahme ohne Ihr Wissen zu starten. Diese Funktion wirkt sowohl unter Windows als auch unter macOS.
Zoom behauptet zwar, dass es „keinerlei Hinweise darauf gibt, dass dies jemals geschehen ist“, betrachtet diese Möglichkeit jedoch als beabsichtigtes Feature. Laut Zoom erteilen Nutzer die Erlaubnis, wenn der Zoom-Client so eingestellt ist, dass die Webcam automatisch beim Meetingbeitritt aktiviert wird.
Jonathan Leitschuh demonstriert dieses Problem eindrücklich mit einer Proof-of-Concept-Website. Wenn Zoom installiert ist und man diese Seite aufruft, startet Zoom automatisch, tritt dem Meeting bei und beginnt mit der Webcam-Aufnahme. Auf macOS geschieht dies sogar dann, wenn Zoom zuvor deinstalliert wurde, da ein geheimer Webserver weiterhin im Hintergrund läuft. Unter Windows ist Zoom betroffen, wenn es aktuell installiert ist.
Zunächst schien Leitschuhs Beitrag zu implizieren, dass das Problem ausschließlich macOS betrifft. Durch einen Tweet präzisierte er jedoch die Sachlage:
? WINDOWS- UND MAC-BENUTZER ?
Wenn Sie dieses Kontrollkästchen jemals in einem anderen Browser als Safari aktiviert haben, sind Sie ebenfalls anfällig. pic.twitter.com/FbG2efEe0R— Jonathan Leitschuh (@JLLeitschuh) 9. Juli 2019
Um das Problem zu überprüfen, haben wir die Zoom-Software installiert und die Proof-of-Concept-Website mit Google Chrome aufgerufen.
Beim ersten Besuch wird man aufgefordert, die Zoom-App zu öffnen – vorausgesetzt, Zoom ist nicht schon installiert. Wenn man die Option „Diese Art von Links immer in der zugehörigen App öffnen“ aktiviert, ist man verwundbar. Dies ist eine Funktion, die viele aktivieren, um zukünftige Klicks zu vermeiden.
Bei jedem weiteren Besuch der Webseite öffnete sich Zoom automatisch, trat dem Meeting bei und aktivierte unsere Webcam, ohne weitere Bestätigung oder Zustimmung einzufordern. Bösartige Websites könnten Sie somit ohne weiteres Zutun aufzeichnen, solange Sie Zoom installiert haben.
Das Zoom-Fenster ist zwar sichtbar, sodass man erkennen kann, dass man aufgezeichnet wird. Eine bösartige Webseite könnte jedoch einige Aufnahmen machen, bevor Sie das Videokonferenzfenster beenden.
Dies ist ein schwerwiegendes Problem. Es wird dringend empfohlen, Zoom zu deinstallieren, wenn es nicht regelmäßig genutzt wird. Wenn die Installation unerlässlich ist, kann man in den Zoom-Einstellungen unter dem Reiter „Video“ die Option „Mein Video beim Meetingbeitritt deaktivieren“ aktivieren, um diese Problematik zu umgehen.
macOS-Nutzer sollten zudem nicht vergessen, den versteckten Webserver zu suchen und zu entfernen.
Leider scheint Zooms offizielle Stellungnahme die Situation zu verharmlosen, da das Unternehmen diese Funktionalität als Feature und nicht als Sicherheitslücke betrachtet. Es bleibt zu hoffen, dass Zoom die volle Tragweite der Angelegenheit erkennt und eine Kursänderung vornimmt.