Weitere Sicherheitsprobleme für Zoom. Die Videokonferenzplattform hatte eine Reihe von Schwachstellen, die es Hackern ermöglicht hätten, die Kontrolle über den PC zu übernehmen
Dass die Zoom-Videokonferenz-App in den letzten Monaten enormen Erfolg und enorme Sicherheitsprobleme hatte, war uns allen klar: In den letzten neunzig Tagen haben sich die Berichte über Datenschutz- und Sicherheitsprobleme mit Zoom exponentiell vervielfacht.
Das ist auch der Grund, warum Zoom gezwungen war, seine App-Entwicklungspläne so stark zu beschleunigen, um auftretende Lücken schnell zu schließen. Heute stellt sich heraus, dass einige dieser Schwachstellen es einem Hacker ermöglicht hätten, mit einem animierten Gif oder einer einfachen Nachricht fast die vollständige Kontrolle über unseren Computer zu übernehmen. Und tatsächlich hat Zoom Ende Mai die Möglichkeit, animierte Gifs in Chats zu teilen, vorübergehend ausgesetzt, dann den Fehler behoben und schließlich die Funktion wieder eingeführt. Die andere Schwachstelle wurde mit der Version 4.6.12 der App ebenfalls behoben.
Ab dem 30. Mai mussten dann alle Nutzer auf die Version 5.0 der App aktualisieren, um weitere Sicherheitslücken zu schließen. Aber was haben wir in all den Monaten mit Zoom riskiert?
Zoom: CVE-2020-6109
Beide schwerwiegenden Sicherheitslücken von Zoom wurden von Cisco Talos-Forschern entdeckt. Der erste wurde als CVE-2020-6109 bezeichnet und bezieht sich auf die Integration mit GIPHY, dem beliebten Dienst für animierte Gifs, der kürzlich von Facebook übernommen wurde. Die Forscher entdeckten, dass die Zoom-App nicht überprüft, ob ein in einem Chat geteiltes Gif von den Servern von GIPHY oder von anderen Servern hochgeladen wurde. Dies hätte es einem böswilligen Benutzer ermöglicht, ein animiertes Gif von einem böswilligen Server zu teilen, wodurch der Computer infiziert worden wäre.
Zoom: CVE-2020-6110 Schwachstelle
Die zweite Schwachstelle mit der Bezeichnung CVE-2020-6110 hing von der Implementierung des Extensible Messaging and Presence Protocol (XMPP) innerhalb der Zoom-App ab. Dieses Nachrichtenprotokoll basiert auf XML und ermöglicht daher die Ausführung von Code auf dem Chat-Client. In der Praxis erstellt diese Funktion ein Zip-Archiv des gemeinsam genutzten Codeschnipsels und entpackt die Datei dann automatisch auf dem Computer des Empfängers. Den Forschern zufolge überprüfte die Zip-Datei-Extraktionsfunktion von Zoom den Inhalt der Zip-Datei vor dem Extrahieren nicht, so dass der Angreifer beliebige Binärdateien auf den Zielcomputern installieren konnte.
Zoom: alles behoben?
Seit dem 30. Mai müssen alle Zoom-Benutzer die Version 5.0 der Client-App installieren, andernfalls ist es unmöglich, die Plattform zu nutzen. Die beiden von Cisco Talos entdeckten und gemeldeten Schwachstellen waren bereits einige Tage zuvor mit der Version 4.6.12 behoben worden, aber mit der Version 5.0 kam eine wichtige neue Funktion hinzu: die End-to-End-Verschlüsselung. Allerdings ist diese neue Funktion nicht für jedermann gedacht: Nur zahlende Nutzer können sicher sein, dass ihre Chats und Videokonferenzen mit AES-256 GCM verschlüsselt werden.