Falls du jemals Zoom auf deinem Mac installiert hattest, solltest du jetzt aufpassen: Die Videokonferenz-Software hat ein Problem. Angreifer können über eine Zoom-Sicherheitslücke ungefragt deine Webcam aktivieren – auch, wenn das Programm deinstalliert ist.
Der Sicherheitsforscher Jonathan Leitschuh hat eine Zoom-Sicherheitslücke entdeckt. Er berichtet in einem Artikel auf der Online-Plattform Medium darüber.
Konkret geht es um Folgendes: Wer einen Mac verwendet und jemals die Videokonferenz-Software Zoom darauf installiert hatte, ist von dem Problem betroffen. Die Sicherheitslücke klafft also auch, wenn das Programm mittlerweile deinstalliert ist.
Betroffen sind offenbar mehr als vier Millionen Nutzer. Das ist nicht verwunderlich. Zoom selbst behauptet nämlich, dass über 750.000 Unternehmen die Büro-Software verwenden.
Spione können Mac-Nutzer zum Video-Anruf zwingen
Leitschuh schreibt in seinem Artikel, dass Spione uns Software-Nutzer zu einem Video-Anruf zwingen können, ohne dass wir es merken. Sie sind also in der Lage, einfach unsere Kamera einzuschalten.
Dafür müssen die Angreifer uns nur dazu bringen, auf einen Link zu klicken, der uns zu einem Videochat einlädt.
Das liegt offenbar daran, dass bei der Installation von Zoom auch ein lokaler Webserver eingerichtet wird. Mit diesem kann dann jeder interagieren, sobald Nutzer an einem Videochat teilnehmen.
Deshalb klafft die Sicherheitslücke laut Leitschuh auch nach der Deinstallation weiter: Wenn Nutzer die Web-App entfernen, bleibt der Server bestehen und installiert bei einer erneuten Videochat-Anfrage die Software automatisch neu.
Zoom-Sicherheitslücke: Ist das Unternehmen selbst schuld?
Das US-amerikanische Unternehmen Zoom wollte seine Videokonferenz-Software für seine Nutzer so einfach wie möglich gestalten.
Deshalb haben die Entwickler der Firma offenbar mehrere große Sicherheitslücken produziert. Denn es war bis zuletzt möglich, einen Nutzer automatisch zu einem Videochat hinzuzufügen – auch ohne dessen Zustimmung.
Ist das Unternehmen also selbst für die Zoom-Sicherheitslücke verantwortlich? Eigentlich schon. Gegenüber Zdnet erklärte die Firma, dass Apples Safari-Browser wohl bei jeder Zoom-Nutzung nach einer Bestätigung der Nutzer verlangt habe. Und das wollte Zoom ändern.
Immerhin scheinen die Entwickler etwas gegen die Sicherheitslücke unternommen zu haben: Das Programm fragt jetzt nämlich nach, ob die Kamera aktiviert werden soll. In einem Blogpost erklärte Zoom zudem, noch weitere Schritte unternehmen zu wollen.
Was können Nutzer gegen die Zoom-Sicherheitslücke tun?
Leitschuh sagt, dass man über den Terminal-Befehl lsof -i :19421 überprüfen kann, ob ein lokaler Webserver am Port 19421 auf Anfragen wartet. Das Terminal ruft man auf, indem man im Dock auf „Programme“ klingt, anschließend die Dienstprogramme auswählt und dann das Terminal.
Ist das der Fall, ist das System nach aktuellen Informationen wohl angreifbar. Dieser Webserver kann nämlich die deinstallierte Zoom-Anwendung wieder neu installieren.
Wenn ein Angreifer auch noch Schwachstellen im Zoom-Code findet, kann er aus der Ferne einen Schad-Code installieren und ungefragt auf unsere Kamera zugreifen.
Diesen Server-Prozess soll man dann beenden und das Verzeichnis .zoomus löschen, um auf Nummer sicher zu gehen. Um mögliche Neuinstallationen zu verhindern, sollen Nutzer an der selben Stelle zudem ein leeres .zoomus-Verzeichnis einrichten.
Alternativ kann man in den Einstellungen auch die Zeile „Turn off my video when joining a meeting“ anklicken. Dann soll die Kamera immerhin nicht bei einem unerwünschten Videochat starten.
So kann eine ganzheitliche Lösung aussehen
Letztendlich ist Leitschuh noch der Meinung, dass zum vollständigen Nutzerschutz wohl die lokale Webserver-Lösung entfernt werden müsste.
„Letztendlich konnte Zoom die Sicherheitslücke weder schnell bestätigen noch gelang es ihnen, das Problem rechtzeitig zu beheben und ein Update an die Nutzer zu verteilen“, schreibt der Sicherheitsforscher in einem Fazit.
Apple behebt das Problem
Update vom 16. Juli 2019: Mittlerweile hat sich Apple selbst darum gekümmert, die Sicherheitslücke zu schließen.
Das Unternehmen sagte gegenüber der Technik-Seite TechCrunch aus, den entsprechenden Webserver entfernt zu haben, der nach der Deinstallation von Zoom ursprünglich auf dem Rechner blieb.
Auch interessant:
