GRID.BLOG

Mac, CAD & Architektur

Im GRID.BLOG berichten wir aus unserer täglichen Praxis und schreiben über das, was uns und unsere Kunden gerade bewegt.

Sicherheits- und Privatsphärenprobleme der zoom Konferenzlösung

Gerade jetzt in der Zeit, in der viele unseren Kunden ihre Mitarbeiter von Zuhause arbeiten lassen, ist die Frage nach einer geeigneten Lösung für Video- und Audiokonferenzen aktuell. Vielleicht haben einige auch schon Artikel im Internet gesehen und gelesen, in denen es um massive Unzulänglichkeiten, sowohl sicherheitstechnisch, als auch in Bezug auf die Privatsphäre der Software Zoom gibt.
Überwachungskameras

Gerade momentan in der Zeit, in der viele unseren Kunden ihre Mitarbeiter von Zuhause arbeiten lassen, ist die Frage nach einer geeigneten Lösung für Video- und Audiokonferenzen aktueller geworden. zoom ist eine dieser Lösungen. Vielleicht haben Sie aber auch schon Artikel im Internet gesehen und gelesen, in denen es um massive die Unzulänglichkeiten, sowohl sicherheitstechnisch, als auch in Bezug auf die Privatsphäre dieser Software gibt.

Kurze Zusammenfassung der Probleme mit Zoom

  • Entgegen der eigenen Darstellung auf der zoom.us Website sind Video- und Audiostreams nicht Ende-zu-Ende verschlüsselt
  • zoom hat gestern ein Statement veröffentlicht, in dem sie dies bestätigen, aber „versichern“, dass sie keinerlei Daten analysieren und auslesen
  • bei der Installation der App auf macOS wird eine Installationsmethode verwendet, die es Angreifern ermöglicht root-Rechte (dh. die höchste Stufe an Berechtigung auf dem System) zu erlangen
  • mit diesen Rechten kann ein Angreifer nicht nur die komplette Herrschaft über den betroffenen Rechner erlangen, sondern von diesem Rechner aus dann auch das Netzwerk kompromittieren, in dem sich der Rechner befindet (auch von Extern, wenn der Rechner per VPN verbunden ist)
  • auf Windows-Seite kann der Accountnamenund das Passwort ausgelesen werden
  • bis zur vorigen iOS-Version wurden beim Öffnen der App, Standortdaten, Mobilfunkbetreiber etc. an facebook übermittelt

Zur detaillierteren Information ein paar Links:

02.04.2020 thehackernews.de: New Zoom Hack Lets Hackers Compromise Windows and Its Login Password

02.04.2020 heise.de: Videokonferenz-Software: Ist Zoom ein Sicherheitsalptraum?

31.03.2020 9to5mac.com: Zoom Video Calls are actually not encrypted

Dies ist nur eine kurze Zusammenfassung der schwerwiegenderen Probleme. Und in der Vergangenheit gab es auch schon immer wieder Probleme (zB. gab es letzten Sommer eine Sicherheitslücke, die den Zugriff auf die Webcam des Rechners von Außen ermöglichte)

Wir müssen darauf hinweisen, dass wir zoom als potentielles Sicherheitsrisiko sehen und auch Updates, die vorhandene Lücken ausmerzen, nicht per se die Software sicher oder problemfrei machen. Hinzu kommt, dass zoom mitunter das Verhalten und die Funktionalität von anderen Apps beeinträchtigt.

Als Alternative zu zoom empfehlen wir die Video Konferenzlösung GoToMeeting, die wir bei grid momentan auch für VECTORWORKS Online-Schulungen verwenden.