Backdoor in "Zoom"

Kaito

Kaito

Aktives Mitglied
Thread Starter
Dabei seit
31.12.2005
Beiträge
7.093
Reaktionspunkte
1.844
Ich weiß nicht wer es alles mitbekommen hat, aber die Tage macht die Software "Zoom" negative Schlagzeilen aufgrund gravierender Sicherheitsprobleme.
https://www.heise.de/security/meldu...oom-Sicherheitsluecke-anschalten-4466205.html

Zoom ist unter den Top 3 in Sachen Videokonferenz/Kollaboration, zusammen mit MS Skype/Teams und Ciscos WebEx. Laut eigener Aussage sind sie die Nummer 1.

Zoom installiert einen Webserver auf dem Rechner damit diverse Features umgesetzt werden können. Dieser bleibt auch bei einer Deinstallation auf dem Rechner am Laufen, damit Zoom auf seiner Website via eines schnöden Buttons ein "Reinstall" Feature anbieten kann. Auch lässt sich darüber die Kamera an Macs ohne großes zutun aktivieren. Auch hier wieder: selbst wenn Zoom bereits deinstalliert war.
Diese Probleme existieren nur in der Mac-Version von Zoom.

Allerdings dürfte sich das Problem schon erledigt haben, da Apple den nun entfernt hat: https://techcrunch.com/2019/07/10/apple-silent-update-zoom-app/
Löblich, dass hier so schnell eingegriffen wurde.
(Und etwas beängstigend, dass es solche silent Updates gibt)
 
Kannte Zoom nicht, hab es erst durch die News jetzt aufgeschnappt.

Aber ein Tool - das oft im Firmeneinsatz genutzt wird - und einen eigenen Webserver weiter laufen lässt wenn es deinstalliert wird ist ja mal der blanke Horror!

Erstaunlich das Apple da reagiert und selbst einen Riegel vorschiebt, hätte ich nicht erwartet. Ist wahrscheinlich mit der automatischen Malwareerkennungs-update Funktionalität auf die Macs geschoben worden.


Hätte ich Zoom im Einsatz würde ich mir jetzt aber gründlich überlegen ob ich dem Unternehmen noch vertrauen will...
Für mich ist das ein absolutes NoGo!
 
Zoom spokesperson Priscilla McCarthy told TechCrunch: “We’re happy to have worked with Apple on testing this update. We expect the web server issue to be resolved today. We appreciate our users’ patience as we continue to work through addressing their concerns.”
Zum Vergrößern anklicken....

Lese ich das richtig? Die wollen diesen Bug fixen und dann wieder ihren selbst gefrickelten Webservermüll wieder auf den Rechnern der Kunden ausrollen?
 
Schon alleine das hier zeigt doch, dass Zoom wohl die Sicherheit ihrer Kunden vollkommen egal ist, oder dass sie nicht in der Lage sind diese zu gewährleisten.
This vulnerability was originally responsibly disclosed on March 26, 2019. This initial report included a proposed description of a ‘quick fix’ Zoom could have implemented by simply changing their server logic. It took Zoom 10 days to confirm the vulnerability. The first actual meeting about how the vulnerability would be patched occurred on June 11th, 2019, only 18 days before the end of the 90-day public disclosure deadline. During this meeting, the details of the vulnerability were confirmed and Zoom’s planned solution was discussed. However, I was very easily able to spot and describe bypasses in their planned fix. At this point, Zoom was left with 18 days to resolve the vulnerability. On June 24th after 90 days of waiting, the last day before the public disclosure deadline, I discovered that Zoom had only implemented the ‘quick fix’ solution originally suggested.

Ultimately, Zoom failed at quickly confirming that the reported vulnerability actually existed and they failed at having a fix to the issue delivered to customers in a timely manner. An organization of this profile and with such a large user base should have been more proactive in protecting their users from attack.
Zum Vergrößern anklicken....
 
Nach allem was man bisher weiß, hat Zoom nur sehr zögerlich reagiert. Sie haben einen eigenen Fix ausgeliefert, der den Server aber drauf belassen hat und den der Sicherheitsforscher direkt wieder umgehen konnte, aber laut Zoom reiche das aus.
Dann kam Apple mit diesem Update ihrerseits und plötzlich gibt sich Zoom ganz handzahm und einsichtig. Ich glaube daran war nicht viel freiwillig und auch nicht viel von Zoom ausgehend.
 
AgentMax schrieb:
Darauf basiert doch die ihre komplette Software...
Zum Vergrößern anklicken....
Der Server soll nur ein Workaround darum sein, dass Nutzer sonst immer wieder eine Meldung im Safari bestätigen müssten. Es ist also mehr Komfort.
 
Einer der erfolgreichsten Börsenstarts. Die zittern vermutlich bei solchen Aufdeckungen.
 
Werte Macianer/innen,

das Thema mit der Unsicherheit bei zoom ist nach wie vor aktuell: https://www.heise.de/security/meldu...Ist-Zoom-ein-Sicherheitsalptraum-4695000.html

Wie kann ich auf meinem Macbook Air von 2013 mit Mojave rausfinden, wo sich was eventuell befindet?

Hier Teil des Artikels vom 09.07.2019 von Heise Online:

Verwundbaren Web-Server abschalten
Mac-Nutzer, die in der Vergangenheit Zoom-Software installiert haben, sollten prüfen, ob auf ihrem System ein lokaler Web-Server auf Port 19421 auf Anfragen lauscht. Ist dies der Fall, ist das System nach aktuellem Kenntnisstand wahrscheinlich verwundbar. Dieser Webserver hat unter anderem die Möglichkeit, die deinstallierte Zoom-App erneut zu installieren. Es ist also denkbar, dass der Web-Server auch dazu verwendet werden könnte, aus der Ferne Schadcode zu installieren.

Dazu müsste ein Angreifer weitere Schwachstellen im Zoom-Code finden – was angesichts der unorthodoxen Art, wie die Firma ihre Software auf den Geräten ihrer Nutzer installiert, nicht gänzlich unwahrscheinlich ist.

So oder so ist die Tatsache, dass Fremde einen Zoom-Nutzer ungewollt in ein Web-Meeting mit aktiver Kamera zwingen können, wohl schlimm genug. Betroffene Nutzer sollten den auf Port 19421 laufenden Server-Prozess beenden und dann das versteckte Verzeichnis .zoomus in ihrem Nutzer-Verzeichnis löschen. Wer danach ein leeres .zoomus-Verzeichnis an der selben Stelle anlegt, sollte eine Neuinstallation des gefährlichen Web-Servers verhindern. (fab)

Danke schon mal für nützliche Tipps!
 
Der genannte Heise-Artikel ist doch "uralt". Inzwischen hat sich die Welt weitergedreht und zoom die Version 5.0.5 veröffentlicht.
 
Viel tragischer finde ich heute, dass China bestimmt, welche Meetings abgehalten werden dürfen: https://www3.nhk.or.jp/nhkworld/en/news/20200612_22/
Zoom admits ending Tiananmen-related meetings
US videoconference service provider Zoom has acknowledged that it ended meetings commemorating the Tiananmen Square incident at China's request.
The tech firm said on Thursday that China told it in May and early June that four such meetings were illegal in the country and demanded that they and host accounts be terminated.
Zum Vergrößern anklicken....

Zoom hat auch schon diverse Accounts auf Chinas Befehl hin geschlossen, obwohl es sich dabei um US Accounts gehandelt hat. Das Narrativ von "wir müssen lokalen Gesetzen folgen" ist also keine Ausrede.
 
Eine ganz normale Diktatur halt...

Frag mal in der Türkei nach dem Völkermord an den Armeniern oder kritisiere in Russland den Zaren.
 
Das ist ja gerade der Punkt. Dass ich in der Türkei nichts über den Völkermord erzählen sollte ist mir klar, aber hierzulande kann ich es.
Hier haben US Accounts China kritisiert und sind dafür gesperrt worden. Keine chinesischen Accounts!
 
Kaito schrieb:
Das ist ja gerade der Punkt. Dass ich in der Türkei nichts über den Völkermord erzählen sollte ist mir klar, aber hierzulande kann ich es.
Hier haben US Accounts China kritisiert und sind dafür gesperrt worden. Keine chinesischen Accounts!
Zum Vergrößern anklicken....

Bei Zoom halt nicht. Dass man die meiden sollte wie der Teufel das Weihwasser, ist doch seit den Backdoors klar - mich überrascht das nicht. Haben vermutlich grade ein chinesisches Übernahmeangebot auf dem Tisch liegen.
 
Gar nicht notwendig, Zoom wird in China entwickelt. Der Firmensitz liegt zwar in Californien, aber im Prinzip wird alles komplett in China gemacht. Entsprechend kannst du auch davon ausgehen, wer im Code seine Hintertürchen hat.
 
Zitieren
  • Gefällt mir
Reaktionen: iPhill und spatiumhominem
Zurück
Oben Unten