Zoom-Sicherheitsprobleme: Alles, was (bisher) schief gelaufen ist

(Bildnachweis: Rido/Shutterstock)

Benutzt du Zoom? Natürlich tust du. Nachdem die Coronavirus-Pandemie im März 2020 Nordamerika und Europa heimgesucht hatte, begannen anscheinend alle, die anfangen mussten zu arbeiten, zur Schule zu gehen oder sogar von zu Hause aus Kontakte zu knüpfen, den Videokonferenzdienst.

Aber Junge, waren da Wachstumsschmerzen. Zoom stieg von 10 Millionen täglichen Nutzern im Dezember 2019 auf 300 Millionen tägliche Nutzer im April 2020. Seine Sicherheits- und Datenschutzpraktiken wurden einer genauen Prüfung unterzogen – und Experten gefielen nicht, was sie fanden.



  • Cyber ​​Monday-Angebote: Sehen Sie sich jetzt die besten Angebote an!

Es stellte sich heraus, dass die Ende-zu-Ende-Verschlüsselung von Zoom nicht ganz durchgängig war, dass andere Zoom-Meeting-Teilnehmer viel über Sie sehen konnten und dass Witzbolde und gelangweilte Teenager öffentliche Meetings mit schockierenden oder unhöflichen „Zoom-Bomben“ machen konnten Inhalt.

Die Datenschutzrichtlinien von Zoom schienen Zoom auch das Recht zu geben, mit den personenbezogenen Daten der Benutzer zu tun, was immer es wollte.

Die meisten dieser Mängel wurden seit dem Frühjahr 2020 behoben oder auf andere Weise gemildert, aber neuere Probleme scheinen regelmäßig aufzutauchen. Wir haben eine laufende Liste darüber, was bei Zoom schief gelaufen ist, was behoben wurde und was noch ein offenes Problem ist – nachdem wir Ihnen ein paar Tipps gegeben haben, wie Sie Zoom sicherer machen können.

Bei all diesen Problemen haben die Leute nach Alternativen zu Zoom gesucht. Schauen Sie also in unserem Skype vs Zoom Face-Off, um zu sehen, wie sich eine alte Video-App für Videokonferenzen angepasst hat. Wir haben auch verglichen Zoom vs. Google Hangouts sowie.

So machen Sie Zoom sicherer

Zoom sollte in Ordnung sein, es sei denn, Sie besprechen Staats- oder Unternehmensgeheimnisse oder geben persönliche Gesundheitsinformationen an einen Patienten weiter. Es ist einfach einzurichten , einfach zu bedienen und lässt bis zu 100 Personen kostenlos an einem Meeting teilnehmen. Es funktioniert einfach.

Für Schulklassen, After-Work-Treffen oder sogar Arbeitsplatzbesprechungen, die dem Routinegeschäft unterliegen, besteht bei der Verwendung von Zoom kein großes Risiko. Kinder werden es wahrscheinlich weiterhin strömen, da sie es sogar gebrauchen können Snapchat-Filter auf Zoom .

So können Sie Zoom sicherer machen:

-- Konfiguration Die Zwei-Faktor-Authentifizierung von Zoom um Ihr Konto zu schützen.

-- Nehmen Sie an Zoom-Meetings über Ihren Webbrowser teil statt über die Zoom-Desktop-Software. Die Webbrowser-Version erhält schnellere Sicherheitsverbesserungen und 'sitzt in einer Sandbox', um Sicherheitsprobleme zu begrenzen, bemerkt die Antivirenfirma Kaspersky .

beste Android-Handy-Reiniger-App

Wenn Sie auf einen Link klicken, um einem Meeting beizutreten, öffnet Ihr Browser eine neue Registerkarte und fordert Sie auf, die Zoom-Desktop-Software zu verwenden oder zu installieren. Es gibt jedoch einen kleineren Link, um über Ihren Browser beizutreten. Klicken Sie stattdessen darauf.

-- Bitten Sie die Zoom-Meeting-Teilnehmer, sich mit einem Passwort anzumelden wenn Sie ein Meeting veranstalten. Das macht Zoom-Bombenangriffe viel unwahrscheinlicher.

Zoom-Anleitungen

So treten Sie einem Zoom-Meeting bei
So verwenden Sie Zoom
So richten Sie ein Zoom-Meeting ein
So ändern Sie Ihren Zoom-Hintergrund
So teilen Sie Ihren Bildschirm auf Zoom
So chatten Sie mit Zoom
Wie man Karaoke auf Zoom macht
So löschen Sie Zoom

Alles, was in letzter Zeit mit Zoom schief gelaufen ist

Wir haben die neuesten Zoom-Probleme nach oben gesetzt und ältere Probleme in ungelöste, behobene und solche, die in keine der beiden Kategorien passen, unterteilt.

18. November 2021: Zoom behebt drei schwerwiegende Fehler in der Konferenzsoftware

Zoom hat drei schwerwiegende Fehler in einigen seiner Videokonferenz-Software für Unternehmen behoben, von denen die schlimmsten einem Angreifer hätten ermöglichen können, in das interne Serversystem eines Unternehmens einzudringen.

Die folgenden Enterprise-Zoom-Anwendungen sind anfällig und müssen gemäß einem Bericht von . aktualisiert werden Positive Technologien : Meeting Connector Controller bis Version 4.6.348.20201217; Meeting Connector MMR bis Version 4.6.348.20201217; Recording Connector bis Version 3.8.42.20200905; Virtual Room Connector bis Version 4.4.6620.20201110; und Virtual Room Connector Load Balancer vor Version 2.5.5495.20210326.

In Bezug auf Verbrauchersoftware hat Zoom eine Sicherheitslücke im Zoom-Client für Meetings für Windows behoben, die auf Version 5.5.4 aktualisiert werden muss. Das ist laut Zoom-Sicherheitsbulletin Seite.

19. Okt.: Zoom erfordert, dass Benutzer nicht länger als 9 Monate mit Software-Updates im Rückstand sind

Zoom kündigte an, dass ab dem 1. November 2021 „ Kunden müssen ihre Zoom-Software aktualisieren um sicherzustellen, dass sie zu keinem Zeitpunkt mehr als neun Monate hinter der aktuellen Version zurückliegt.' Wenn Sie Ihre Software nicht aktualisieren, können Sie nicht an Zoom-Meetings teilnehmen.

Jeder, der eine ältere Software verwendet, wird aufgefordert, seine Software zu aktualisieren. Dies betrifft die gesamte Zoom-Software, die auf allen unterstützten Plattformen ausgeführt wird, mit Ausnahme der Zoom Room Controller-Software, zumindest vorerst.

30. September: Zoom-Sicherheitslücken gepatcht

Zoom hat mehrere Sicherheitsprobleme bekannt gegeben Das war in späteren Versionen von Zooms Desktop-Clients und Plug-Ins für Microsoft Outlook sowohl für Windows als auch für macOS behoben worden.

Der Schweregrad der Fehler reichte von niedrig bis hoch, wobei einige die Ausführung von Code aus der Ferne – d. h. Hacking über das Internet – auf Benutzercomputern ermöglichten. Alle wurden von mindestens Zoom Client für Meetings 5.4.0 und Zoom Plug-In für Microsoft Outlook für Mac 5.0.25611.0521 gepatcht.

13. September: Verschlüsselte Zoom-Telefonate

Zoom hat angekündigt, dass die Einführung geplant ist Ende-zu-Ende-Verschlüsselung zu Zoom-Telefon , dem kostenpflichtigen Cloud-Anrufdienst für Pro-, Business- oder Enterprise-Konten. Die Ende-zu-Ende-Verschlüsselung wird eine Option für Eins-zu-Eins-Zoom-Telefonanrufe sein.

13. August: Zoom behebt Hacking-Fehler

Zoom angekündigt über seine Zoom-Sicherheitsbulletin dass die Remote-Hacking-Fehler beim Pwn2Own-Wettbewerb demonstriert im April war behoben.

Alle Benutzer, egal ob unter Windows, Mac oder Linux, sollten ihre Zoom Client for Meetings-Software auf Version 5.6.3 oder höher aktualisieren.

31. Juli: Zoom legt Sammelklage bei

Zoom hat eine vorläufige Einigung erzielt in einer bundesstaatlichen Sammelklage, in der behauptet wurde, das Unternehmen habe bei der Sicherheit gespart, Benutzer in die Irre geführt und personenbezogene Benutzerdaten ohne Benachrichtigung oder Zustimmung an Dritte weitergegeben.

Laut der Vereinbarung, die noch von einem Richter genehmigt werden muss, wird Zoom 85 Millionen US-Dollar zahlen, die an alle verteilt werden, die zwischen März 2016 und jetzt ein Zoom-Konsumentenkonto hatten. (Zoom-Kontoinhaber von Unternehmen und Behörden sind nicht Teil dieses Rechtsstreits.)

Zahlende Zoom-Benutzer haben Anspruch auf 15 % ihrer Abonnementgebühren oder 25 USD, je nachdem, welcher Betrag höher ist; nicht zahlende Benutzer haben Anspruch auf 15 USD. Bekannte Kursteilnehmer werden per E-Mail oder Post benachrichtigt, dass sie einen Anspruch geltend machen können, und andere können die Website www.zoommeetingsclassaction.com nutzen, wenn sie live geht.

Zoom gibt kein Fehlverhalten im Rahmen des Vergleichs zu.

4. Juni: Neue Zoom-Datenschutzrichtlinie

Zoom hat ein ' einfacher, klarer ' Datenschutzrichtlinie, die die Tatsache widerspiegelt, dass sich der Online-Meeting-Dienst während der COVID-19-Pandemie 'von einem primär auf Unternehmen ausgerichteten Produkt zu einem Produkt gewandelt hat, das auch von Einzelpersonen umfassend genutzt wird'.

Die aktualisierte Datenschutzrichtlinie enthält weitere Details darüber, wer Zoom-Meeting-Inhalte „sehen, speichern und teilen“ kann und welche Arten von Daten Zoom von den Geräten der Benutzer erfasst.

Sie können die lesen Vollständige aktualisierte Zoom-Datenschutzerklärung hier .

1. Mai: Zoom führt Datenschutzbenachrichtigungen ein

In einem Blog-Beitrag gab Zoom bekannt, dass es hinzugefügt wurde Datenschutzbenachrichtigungen auf die neueste Version seiner Desktop-Client-Software.

'Benutzer werden neue produktinterne Benachrichtigungen sehen, die es einfacher machen sollen zu verstehen, wer ihre Inhalte und Informationen sehen, speichern und teilen kann, wenn sie an auf Zoom gehosteten Meetings und Erlebnissen teilnehmen', heißt es in dem Beitrag.

Die Benachrichtigungen werden im Chatfenster des Meetings als Schaltfläche mit der Bezeichnung „Wer kann Ihre Nachrichten sehen?“ angezeigt. Klicken Sie mit der Maus darauf und eine Benachrichtigungsblase mit der Antwort wird angezeigt.

'Benutzer finden ähnliche Informationen, wenn sie andere Besprechungsfunktionen verwenden', heißt es in dem Blogbeitrag, 'wie Transkription, Umfragen und Fragen und Antworten.'

Es fügte hinzu, dass zukünftige Updates Benachrichtigungen enthalten würden, wenn ein Gastgeber oder Teilnehmer eines Meetings während eines Meetings eine Zoom-Transkriptions- oder Planungs-App verwendet.

8. April: Zoom-Fehler lässt Hacker PCs und Macs entführen

Zwei Forscher haben beim Pwn2Own-Wettbewerb gezeigt, dass sie es können Übernehmen Sie aus der Ferne Windows-PCs und -Macs durch Ausnutzung mindestens einer bisher unbekannten Schwachstelle in der Zoom-Desktop-Anwendung.

Glücklicherweise sind die einzigen Leute, die die Funktionsweise dieses Exploits vollständig verstehen, die beiden Forscher und Zoom selbst, die an einer Lösung arbeiten. Die Wahrscheinlichkeit, dass dieser Angriff 'in freier Wildbahn' verwendet wird, ist gering, aber wenn Sie besorgt sind, verwenden Sie während der Besprechungen stattdessen die Zoom-Browseroberfläche, bis dies behoben ist.

19. März: Fehler lässt andere Zoom-Benutzer viel zu viel sehen

Mit Zoom können Besprechungsteilnehmer alle ihre Computerbildschirme, einen Teil ihrer Bildschirme oder nur bestimmte Anwendungsfenster mit anderen Personen in derselben Besprechung teilen.

Zwei deutsche Forscher entdeckten für einen kurzen Moment, dass die der gesamte Bildschirm kann sichtbar sein selbst wenn der Zoom-Benutzer, der den Bildschirm teilt, beabsichtigt, nur einen Teil des Bildschirms anzuzeigen. Alle Teilnehmer, die das Meeting aufzeichnen, können während der Wiedergabe Frames einfrieren und potenziell sensible Informationen anzeigen.

Zoom sagte, es arbeite daran, das Problem zu beheben, aber zum Zeitpunkt dieses Schreibens war der Fehler noch in der neuesten Version der Zoom-Desktop-Client-Software für mindestens Windows und Linux vorhanden.

23. Februar: Der verschlüsselte Chat von Zoom mit Keybase behebt einen schwerwiegenden Fehler

Keybase, ein verschlüsseltes Social-Media-Verifizierungssystem und eine Chat-App, die Zoom im Mai 2020 gekauft hatte, hatte ein gravierender fehler die Bilder in Online-Verzeichnissen bewahrte, selbst nachdem der Benutzer sie gelöscht hatte.

Der Fehler wurde Zoom Anfang Januar 2021 gemeldet, und später in diesem Monat wurde ein Keybase-Software-Update zur Behebung des Fehlers veröffentlicht.

8. Februar: Studie sagt, dass der Versuch, Zoom-Bomben zu stoppen, oft nicht funktioniert

Eine neue Studie, die von Forschern der Boston University und der Binghamton University durchgeführt wurde, ergab, dass Bemühungen, 'Zoom-Bombing' zu stoppen, wie z.

Das liegt daran, dass viele Angriffe von „Insidern“ ausgeführt werden, die bereits berechtigt sind, an den Sitzungen teilzunehmen.

„Unsere Ergebnisse zeigen, dass die überwiegende Mehrheit der Aufrufe zu Zoom-Bombardements nicht von Angreifern gemacht wird, die über Einladungen zu Meetings stolpern oder ihre Meeting-ID brutal erzwingen, sondern von Insidern, die legitimen Zugang zu diesen Meetings haben, insbesondere Schüler in High-School- und College-Klassen ', heißt es in der Zeitung mit dem Titel ' Ein erster Blick auf Zoombombing . '

Die „einzig wirksame Verteidigung“ gegen solche Insider-Angriffe bestehe darin, „einzigartige Join-Links für jeden Teilnehmer“ zu schaffen.

29. Januar 2021: Stadt arbeitet daran, Zoom-Bomben zu verbieten

Geplagt von einer Zoom-Bombardement-Epidemie während der Stadtversammlungen sucht die Stadt Juneau in Alaska nach Möglichkeiten, diese Praxis zu verbieten.

'Wir hatten ein paar auf Versammlungsebene, wir hatten ein paar auf Schulvorstandsebene, wir hatten ein paar in einigen Ausschusssitzungen', sagte der Stadtstaatsanwalt Rob Palmer laut der Website von Radiosender KTOO .

Die Polizei in Alaskas Hauptstadt hat es schwer, die Zoom-Bomber aufzuspüren. Die Stadt hofft, dass sie Zoom zwingen kann, Informationen zur Identifizierung der digitalen Schurken herauszugeben, indem sie die Praxis illegal macht.

21. Dezember: Zoom-Manager wird beschuldigt, chinesischer Spion zu sein

In einer Bombenansage, die US-Justizministerium sagte, es habe einen Haftbefehl gegen den ehemaligen Zoom-Manager Jin Xinjiang, alias Julien Jin, ausgestellt, der bis vor kurzem als Verbindungsmann zwischen Zoom und der chinesischen Regierung gedient hatte.

Die USA beschuldigten Jin, seine Position genutzt zu haben, um Zoom-Meetings zwischen in den USA ansässigen Zoom-Benutzern zum Gedenken an den Jahrestag des Massakers auf dem Platz des Himmlischen Friedens von 1989 zu stören und zu beenden und der chinesischen Regierung Informationen über Zoom-Benutzer und Zoom-Meetings zur Verfügung zu stellen. Jin soll in China leben.

Jin hatte angeblich Hilfe von namenlosen Mitverschwörern, die gefälschte E-Mail-Konten und Zoom-Konten im Namen bekannter chinesischer Dissidenten erstellten, „um Beweise dafür zu erfinden, dass die Gastgeber und Teilnehmer der Treffen zum Gedenken an das Massaker auf dem Platz des Himmlischen Friedens Terrororganisationen unterstützten und zu Gewalt anstifteten“. oder das Verbreiten von Kinderpornografie.“

Das Justizministerium sagte, die chinesische Regierung habe die von Jin bereitgestellten Informationen verwendet, um sich gegen Zoom-Benutzer in China oder die in China lebenden Familien von Zoom-Benutzern außerhalb Chinas zu rächen.

Die Ankündigung des DoJ und Haftbefehl beziehen sich nur auf ein unbenanntes 'Unternehmen-1' als Jins Arbeitgeber, aber in einem Blogbeitrag, Zoom gab zu, dass es das Unternehmen war und dass es seine eigenen Ermittlungen durchgeführt hatte, nachdem es im Juni 2020 eine Vorladung der US-Regierung erhalten hatte.

Der Beitrag erklärte weiter, dass Jin im Oktober 2019 von Zoom im Rahmen einer Vereinbarung mit der chinesischen Regierung eingestellt worden sei, die im September 2019 „unseren Dienst in China ohne Vorwarnung abgeschaltet“ hatte.

Der Preis für das Wiedereinschalten von Zoom in China bestand darin, „einen internen Kontakt für Anfragen der Strafverfolgungsbehörden“ – d. h. Jin – einzustellen und Daten chinesischer Benutzer auf Server in China zu verschieben. Der Zoom-Dienst wurde in China im November 2019 wiederhergestellt, und ein Jahr später wurde der Haftbefehl des Justizministeriums gegen Jin ausgestellt.

„Wir haben im Laufe unserer Untersuchung erfahren, dass dieser ehemalige Mitarbeiter gegen die Richtlinien von Zoom verstoßen hat, indem er unter anderem versucht hat, bestimmte interne Zugriffskontrollen zu umgehen“, sagte Zoom. 'Wir haben das Arbeitsverhältnis dieser Person beendet.'

Zoom gab zu, dass Jin 'eine begrenzte Menge einzelner Benutzerdaten mit chinesischen Behörden geteilt oder geleitet hat' und dass die Informationen von 'weniger als zehn ... nicht in China ansässigen Benutzern' auch an China weitergegeben worden seien.

7. Dezember: Zoom-Phishing-Betrug

Der Besseres Geschäftsbüro warnt Zoom-Benutzer, dass Betrüger versuchen, ihre Benutzernamen und Passwörter über Phishing-E-Mails und Textnachrichten zu stehlen Bedrohungsposten .

Die Nachrichten sagen Ihnen, dass „Ihr Zoom-Konto gesperrt wurde“ oder „Sie haben ein Meeting verpasst“ und bieten einen hilfreichen Link zum erneuten Anmelden. Aber fallen Sie nicht auf den Köder herein – die Anmeldeseite ist wirklich eine Falle für erfassen Sie Ihre Zoom-Benutzerdaten, mit denen die Gauner Ihr Zoom-Konto verwenden oder sogar stehlen können.

16. November: Zoom stoppt endlich Zoom-Bombing

Eines der größten Probleme bei Zoom war das „Zoom-Bombing“, bei dem ungebetene Teilnehmer ein Zoom-Meeting zum Absturz bringen und es stören. Über das Wochenende, Zoom hat zwei neue Funktionen veröffentlicht dies zu bekämpfen.

Eine davon, 'Teilnehmeraktivitäten unterbrechen', ermöglicht es dem Meeting-Gastgeber, das Meeting zu unterbrechen, störende Teilnehmer rauszuschmeißen und das Meeting dann fortzusetzen. Die andere, „Berichte durch Teilnehmer“, erweitert die Möglichkeit für Meetingteilnehmer, störende Teilnehmer zu melden, eine Abhilfe, die bisher nur den Gastgebern von Meetings zur Verfügung stand.

10. November: FTC sagt, Zoom habe in Bezug auf die Sicherheit gelogen

Die Federal Trade Commission gab bekannt, dass Zoom 'Benutzer in die Irre geführt' und 'an einer Reihe von betrügerischen und unfairen Praktiken beteiligt' in Bezug auf die eigene Sicherheit. Die FTC zitierte die im März aufgedeckte gefälschte Ende-zu-Ende-Verschlüsselung und Software, die Zoom 2018 und 2019 ohne Autorisierung auf Macs installierte.

Zoom muss jährlichen internen Sicherheitsüberprüfungen und externen Sicherheitsüberprüfungen alle zwei Jahre zustimmen und muss ein Schwachstellen-Management-Programm implementieren. Eine weitere Vorgabe war, dass Zoom seinen Kunden eine Multi-Faktor-Authentifizierung anbietet, die es bereits implementiert hat.

6. November: Zoom-Tastendruck-Snooping

Das haben Forscher in Texas und Oklahoma herausgefunden es ist möglich zu erkennen, was jemand während eines Zoom-Anrufs tippt nur indem man ihre Schultern und Arme beobachtet.

Mithilfe eines Computers konnte das Forschungsteam die Passwörter von Personen in bis zu 75 % der Fälle herausfinden, abhängig von der Kameraauflösung und davon, ob die Person ein Hemd mit Ärmeln oder lange Haare trug.

Dafür könne jede Art von Videokonferenz-Plattform genutzt werden, so die Forscher, ebenso wie YouTube-Videos oder Streaming-Plattformen wie Twitch.

27. Okt.

Die End-to-End-Verschlüsselungsfunktion von Zoom ging endlich live, außer auf iOS, wo sie auf die Genehmigung von Apple warten musste. Wir haben Anweisungen für So aktivieren Sie die Ende-zu-Ende-Verschlüsselung von Zoom .

15. Okt.

Nach langer Zeit ohne Zoom-Nachrichten gab das Unternehmen bekannt, dass die Ende-zu-Ende-Verschlüsselung, an der es seit vielen Monaten arbeitet, dies tun würde bald für Beta-Tests verfügbar .

Benutzer müssen in der dritten Oktoberwoche auf ein Update der Zoom-Client-Software warten. Die Gastgeber des Meetings werden entscheiden, ob ein Zoom-Meeting Ende-zu-Ende verschlüsselt wird. Diese Besprechungen funktionieren (vorerst) nicht für Benutzer, die versuchen, über die Webbrowser-Schnittstelle oder über das Telefon beizutreten.

31. Juli

Wenn Sie sich daran erinnern, dass die Zoom-Weboberfläche im April 2020 für einige Tage außer Betrieb war, wissen wir jetzt warum: Das Unternehmen behob eine sehr schwerwiegende Sicherheitslücke, durch die jeder an einem privaten Zoom-Meeting hätte teilnehmen können.

britischer Sicherheitsforscher Tom Anthony Diese Woche hat er in seinem Blog ausführlich beschrieben, wie er herausfand, dass er endlose zufällige Vermutungen über die 6-stelligen PINs anstellen konnte, die Zoom privaten Meetings zuweist. Das sind eine Million Möglichkeiten, die für einen Menschen schwierig sein mögen, aber für einen PC mit anständiger Leistung, auf dem mehrere Threads ausgeführt werden, nicht schwer sind.

Anthony stellte fest, dass er in etwa einer halben Stunde in Zoom-Meetings einbrechen konnte, geben oder nehmen. Das ist lange bevor viele Meetings vorbei sind.

Der Fehler ist jetzt behoben, Sie müssen sich also keine Sorgen über diesen speziellen Weg der Zoom-Bombardierung machen.

STATUS: Fest.

10. Juli

Ein ungenannter Sicherheitsforscher gefunden ein kritischer Fehler in der Zoom-Meeting-Client-Software für Windows Damit könnte ein Hacker jeden PC mit Windows 7 oder früher aus der Ferne übernehmen. Zoom hat den Fehler kurz nach Bekanntwerden des Fehlers mit einem Software-Update behoben.

STATUS: Fest.

17. Juni: Zoom gibt Kritikern nach und bietet allen eine Ende-zu-Ende-Verschlüsselung

Zoom gab nach anhaltender Kritik von Datenschutzbeauftragten zurück, kündigte in . an ein Blogbeitrag vom 17. Juni dass die kommende Ende-zu-Ende-Verschlüsselung (E2E) nicht mehr nur für zahlende Benutzer ist. Die Millionen von Menschen, die Zoom kostenlos für Schule, Kontakte und Arbeit nutzen, würden auch eine Ende-zu-Ende-Verschlüsselung erhalten.

'Wir haben einen Weg gefunden, der das legitime Recht aller Benutzer auf Privatsphäre und die Sicherheit der Benutzer auf unserer Plattform in Einklang bringt', schrieb CEO Eric S. Yuan. 'Dies wird es uns ermöglichen, E2EE als erweiterte Add-On-Funktion für alle unsere Benutzer weltweit anzubieten – kostenlos und kostenpflichtig – und gleichzeitig die Möglichkeit zu bewahren, Missbrauch auf unserer Plattform zu verhindern und zu bekämpfen.'

Wenn Sie jedoch ein kostenloser Benutzer sind, der E2E möchte, müssen Sie zuerst Ihre Identität bei Zoom über ein Einmalpasswort oder einen ähnlichen Dienst bestätigen. Dies wird es schwieriger machen, Meetings zu „Zoom-Bomben“ zu machen.

Die E2E-Verschlüsselung bleibe ein optionales Feature, erinnerte Yuan daran, denn wenn sie aktiviert ist, kann niemand per Telefon oder mit bestimmten Telefonkonferenzgeräten im Büro an einem Meeting teilnehmen. Es liegt an den Gastgebern des Meetings, ob E2E aktiviert wird.

12. Juni

Zoom ist in den USA wegen Redefreiheit und Zensur in heißem Wasser, nachdem es sich den Forderungen der chinesischen Regierung gebeugt hat die Konten von drei chinesischen Dissidenten vorübergehend ausgesetzt die offene Versammlungen zum Gedenken an den 4. Juni des Tiananmen-Massakers veranstalteten.

Das Unternehmen entschuldigte sich für die Handlungen in ein Blogbeitrag vom 11. Juni und sagte, es würde eine Möglichkeit entwickeln, Meeting-Teilnehmer von bestimmten Standorten (z. B. China) zu blockieren, ohne Meetings vollständig zu schließen.

Das reichte nicht aus, um mehr als ein Dutzend US-Kongressabgeordneter und Senatoren beider Parteien zufrieden zu stellen, die Briefe an den in China geborenen Zoom-CEO Eric S. Yuan schrieben und wissen wollten, wie eng sein Unternehmen mit der Pekinger Regierung verbunden sei.

4. Juni: Cisco Talos enthüllt zwei gravierende Zoom-Fehler

Stiele , ein im Besitz von Cisco befindliches Informationssicherheitsforschungsunternehmen, gab am 3. Juni bekannt, dass es zwei schwerwiegende Fehler in Zoom-Client-Anwendungen gefunden hat, die jetzt beide gepatcht wurden.

Der erster Fehler hätte einen Angreifer ein speziell erstelltes animiertes GIF verwenden lassen, das in einem Zoom-Meeting-Chat platziert wurde, um die Zoom-Client-Software auf den Computern anderer Personen zu hacken, um die Installation von Malware zu erzwingen oder, wie Talos es ausdrückte, „die Ausführung willkürlichen Codes zu erreichen“.

Der zweiter Fehler umfasst auch die Chat-Funktion in der Zoom-Meeting-Client-Software mit ähnlich schwerwiegenden potenziellen Konsequenzen. Das Problem bestand darin, dass Zoom den Inhalt von freigegebenen komprimierten Dateien wie ZIP-Dateien nicht überprüfte.

Ein Angreifer könnte Malware in Form einer komprimierten Datei über den Zoom-Meeting-Chat an einen Benutzer gesendet haben, und der Zoom-Client des Benutzers hätte die Malware im Verzeichnis der Zoom-Anwendung gespeichert und geöffnet.

Schlimmer noch, wenn der Benutzer die komprimierte Zoom-Datei an anderer Stelle auf dem PC, beispielsweise auf dem Desktop, ablegt, könnte der Angreifer eine geänderte Version der ersten Datei mit demselben Namen senden.

Zoom würde die zweite Version (aber nicht die erste) automatisch öffnen, was es der Malware ermöglicht, 'Binärdateien auf fast beliebigen Pfaden zu platzieren und ... potenziell wichtige Dateien zu überschreiben und zur Ausführung willkürlichen Codes zu führen'.

STATUS: Fest.

Montag, 1. Juni

Die kommende Ende-zu-Ende-Verschlüsselung von Zoom ist hauptsächlich für zahlende Benutzer gedacht, wie Zoom selbst am 7. Mai feststellte. Aber Alex Stamos, ein bekannter Informationssicherheitsexperte, der Zoom in Sicherheitsfragen berät, sagte Reuters letzte Woche, dass Schulen und andere gemeinnützige Unternehmen möglicherweise auch die Ende-zu-Ende-Verschlüsselung für ihre Konten erhalten können.

'Der CEO prüft verschiedene Argumente', sagte Stamos gegenüber Reuters. 'Der aktuelle Plan umfasst zahlende Kunden plus Unternehmenskonten, bei denen das Unternehmen weiß, wer sie sind.'

27. Mai

Alle Administratoren von Zoom Rooms müssen aktualisieren ihre Software bis zum 30. Mai, sagte Zoom in einem Blog-Beitrag vom 26. Mai.

Das Update auf Zoom 5.0 wird „größere Sicherheits- und Datenschutzkontrollen für Gastgeber“ bieten, sagte Zoom, aber auch „die Mindestanforderungen von Version 5.0 oder höher für die GCM-Verschlüsselung erfüllen, die für alle Meetings am 30. Mai aktiviert und erforderlich ist“.

Weitere Informationen zum Aktualisieren von Zoom Rooms finden Sie unter Hier . Die 5.0-Updates für die Zoom-Client-Software wurden Ende April an Windows-, Mac-, Android-, iOS-, Chrome OS-, Amazon Fire- und Linux-Benutzer verteilt.

21. Mai

Zwei weitere Fälle von beschädigte Zoom-Installationsprogramme wurden von Trend Micro-Forschern gefunden.

Die erste öffnet eine Hintertür auf einem PC; der zweite spioniert den PC-Besitzer mit Screenshots, Keylogging und Webcam-Hijacking aus und bindet den PC in das Devil Shadow-Botnetz ein.

Beide Installer installieren den Zoom-Software-Client, sodass die Opfer möglicherweise nicht klüger sind. Wie immer erhalten Sie Ihre Zoom-Software direkt von der Zoom-Website unter Zoom.us oder nehmen Sie direkt über Ihren Webbrowser an einem Zoom-Meeting teil.

18. Mai

Zoom litt und ungeklärter Ausfall Sonntag, 17. Mai, war es für Tausende von Benutzern in den USA und Großbritannien nicht verfügbar. Der Ausfall, der am Sonntagmorgen britischer Zeit begann, dauerte mehrere Stunden und betraf Online-Gottesdienste in beiden Ländern. Sogar die britische Regierung tägliches Coronavirus-Briefing war betroffen, was die Möglichkeit von Journalisten, Fragen über Zoom zu stellen, ausschaltete.

Einige Benutzer berichteten auf Twitter, dass das Abmelden von Zoom-Konten und dann das erneute Anmelden das Problem zu lösen schien.

Auf der Statusseite von Zoom wurde festgestellt, dass am frühen Sonntagmorgen ein Backend-Update stattgefunden hatte, aber es schien keine Verbindung zwischen diesem Update und dem Ausfall zu geben, der einige Stunden später begann.

Der Zoom-Statusseite sagte zu der Zeit, dass die Ausfälle „auf eine Untergruppe von Benutzern beschränkt zu sein scheinen“ und dass Zoom „daran gearbeitet habe, die Ursache und den Umfang dieses Problems zu identifizieren“. Einige Stunden später wurde das Problem ohne weitere Details für 'gelöst' erklärt.

12. Mai

Laut Forschern der israelischen Sicherheitsfirma haben Cyberkriminelle in den letzten Wochen möglicherweise Hunderte neuer Zoom-bezogener Website-Adressen registriert Kontrollpunkt .

Viele dieser Websites werden bei Phishing-Angriffen verwendet, um die Zoom-Benutzernamen und -Passwörter der Opfer zu erbeuten, und ähnliche Betrügereien nutzen konkurrierende Videokonferenzplattformen wie Google Meet und Microsoft Teams.

Am Wochenende wurden Online-Vandalen entführt die Abschlussfeier an der Oklahoma City University , ersetzt den Zoom-Video-Feed durch rassistische Sprache und Symbole. Es war zunächst nicht klar, ob es sich um regelmäßige Zoom-Bomben handelte oder ob die Angreifer mit weniger bekannten Methoden den Videofeed unterbrachen.

8. Mai: Zoom verbietet kostenlose Benutzer von technischen Support-Anrufen

Zoom am 7. Mai angekündigt dass es aufgrund der Überlastung des technischen Supports mit Anrufen nur den „Inhabern und Administratoren“ von kostenpflichtigen Konten persönliche technische Unterstützung leisten kann.

Mit anderen Worten, Benutzer, Besitzer oder Administratoren eines kostenlosen Zoom-Kontos und Endbenutzer von kostenpflichtigen Konten haben keinen Anspruch auf menschliche Hilfe. Stattdessen müssen sie sich auf die FAQs und die Liste mit Anleitungen auf der Zoom-Online-Ressourcen Seite.

Vorerst gilt diese Bestimmung nur für Mai und Juni 2020. Wenn die Sperrung des Coronavirus länger andauert, muss Zoom möglicherweise mehr Mitarbeiter für den technischen Support einstellen.

7. Mai: Zoom verspricht in Absprache mit dem Generalstaatsanwalt von New York, die Sicherheit zu erhöhen

Das Büro der New Yorker Generalstaatsanwältin Letitia James eine Einigung mit Zoom erzielt 7. Mai nach einer Untersuchung der Sicherheits- und Datenschutzpraktiken von Zoom.

Es gibt nicht viel Neues in der Vereinbarung. Die meisten Beschwerden der NYAG bei Zoom betrafen Probleme, die in dieser Geschichte, die Sie lesen, erörtert wurden. Die meisten der Bestimmungen, denen Zoom zugestimmt hat, sind Dinge, die das Unternehmen bereits tut, einschließlich der obligatorischen Einführung von Passwörtern und der Verwendung einer besseren Verschlüsselung.

Langfristig muss Zoom regelmäßige Code-Reviews und jährliche Penetrationstests durchführen, bei denen bezahlte Hacker versuchen, die Abwehrkräfte des Unternehmens zu durchbrechen.

Nur zwei neue Dinge werden die Verbraucher direkt betreffen. Zoom muss die Passwortsicherheit erhöhen, indem es automatisierte Angriffe durch das Auffüllen von Passwörtern verhindert (z. B. durch Hinzufügen von CAPTCHAs zu Anmeldeseiten) und muss kompromittierte Passwörter automatisch zurücksetzen.

Es muss auch seine Richtlinien zur akzeptablen Nutzung aktualisieren, um 'missbräuchliches Verhalten einschließlich Hass gegen andere aufgrund von Rasse, Religion, ethnischer Zugehörigkeit, nationaler Herkunft, Geschlecht oder sexueller Orientierung' zu verbieten.

Ehrlich gesagt handelt es sich bei vielen anderen Online-Unternehmen um langjährige Standardrichtlinien, daher sind wir ein wenig überrascht, dass es sich nicht bereits um Zoom-Richtlinien handelt.

7. Mai

Zoom ist Kauf des kleinen New Yorker Startups Keybase um schnell eine echte Ende-zu-Ende-Verschlüsselung für Zoom-Meetings zu implementieren, Zoom-CEO Eric S. Yuan kündigte an . Der Kaufpreis oder andere Bedingungen der Transaktion wurden nicht bekannt gegeben.

Keybase ist eine benutzerfreundliche Software zum einfachen und sicheren Verschlüsseln von Nachrichten und Social-Media-Beiträgen.

Im März musste Zoom zugeben, dass seine angepriesene „End-to-End“-Verschlüsselung nicht die Realität war, da die eigenen Server von Zoom immer auf die Inhalte von Meetings zugreifen können. Sobald die Technologie von Keybase integriert ist, wird dies nicht mehr immer der Fall sein.

6. Mai

Meeting-Passwörter und Warteräume werden ab dem 9. Mai standardmäßig für alle Zoom-Meetings, ob kostenlos oder kostenpflichtig, benötigt. Nur Hosts können ihre Bildschirme standardmäßig freigeben, aber wie die anderen Einstellungen können diese geändert werden.

5. Mai: Zoom-CEO Yuan spricht Sicherheits- und Nationalitätsfragen an

In einer Firma Blogeintrag , sagte Zoom-CEO Eric S. Yuan, dass der massive Anstieg der Zoom-Nutzung seit Beginn der Sperrung des Coronavirus „herausfordernd“ gewesen sei, aber auch „Möglichkeiten für uns geboten habe, sinnvolle Veränderungen und Verbesserungen voranzutreiben“.

Yuan räumte ein, dass „wir es versäumt haben, vorkonfigurierte Sicherheitsfunktionen für unsere neuen Kunden festzulegen, insbesondere für Schulen“, und bezog sich dabei auf Kennwörter für Treffen und Warteräume. 'Stattdessen gingen wir davon aus, dass sie unsere Plattform genauso verstehen würden wie unsere Geschäftskunden unsere Plattform verstehen und diese Funktionen selbst anpassen würden.'

Das führte dazu, dass „ungeladene, beleidigende und manchmal sogar wirklich böse Menschen die Versammlungen störten“, schrieb Yuan. (So ​​eine Person ein Zoom-Meeting zum Thema sexuelle Gewalt gestört in der Bay Area letzte Woche.)

Yuan sprach auch Gerüchte über seine eigenen und Zooms Verbindungen zu China an. Er sagte, er lebe seit 1997 in den USA und sei 2007 US-Bürger geworden, und Zoom sei ein vollständig amerikanisches Unternehmen.

„Ähnlich wie viele multinationale Technologieunternehmen hat Zoom Niederlassungen und Mitarbeiter in China. ... betrieben von Tochtergesellschaften der US-Muttergesellschaft“, schrieb Yuan. 'Unsere Aktivitäten in China ähneln im Wesentlichen unseren US-amerikanischen Kollegen, die dort ebenfalls tätig sind und Mitarbeiter haben.'

'Wir haben 1 (ein) Co-Location-Rechenzentrum in China, das von einem führenden australischen Unternehmen betrieben wird und geofenced ist', fügte Yuan hinzu. 'Es existiert in erster Linie, um unsere Fortune-500-Kunden zufrieden zu stellen, die Niederlassungen oder Kunden in China haben und unsere Plattform nutzen möchten, um mit ihnen in Kontakt zu treten.'

4. Mai

Ein Reporter der Londoner Financial Times trat zurück, nachdem er beim Absturz von internen Zoom-Meetings bei konkurrierenden Londoner Zeitungen erwischt worden war.

Mark Di Stefano kündigte seinen Rücktritt auf Twitter an nach Der Unabhängige dokumentierte, wie Di Stefano letzte Woche an einer unabhängigen Personalversammlung zu Gehaltskürzungen und Urlaub teilgenommen hatte, zunächst unter seinem eigenen Namen, dann anonym.

Kurz darauf veröffentlichte die Financial Times eine Geschichte von Di Stefano über die Kürzungen von The Independent. Di Stefano zitierte seine Quellen als 'Personen im Gespräch', sagte The Independent.

The Independent stellte auch fest, dass Di Stefanos Handy zuvor verwendet worden war, um auf ein Zoom-Meeting im Evening Standard, einer anderen Londoner Zeitung, zuzugreifen. Auf dieses Treffen folgte ein Artikel in der Financial Times über Beurlaubungen und Gehaltskürzungen im Evening Standard.

1. Mai

Zoom ist nicht die einzige Videokonferenzplattform mit fragwürdigen Datenschutzrichtlinien. Verbraucherberichte sagte in einem Blogbeitrag: Cisco Webex, Microsofts Teams und Skype und Googles Duo, Meet und Hangouts tun es auch.

'Alle drei Unternehmen können während einer Videokonferenz Daten sammeln, sie mit Informationen von Datenbrokern und anderen Quellen kombinieren, um Verbraucherprofile zu erstellen, und die Videos möglicherweise für Zwecke wie das Training von Gesichtserkennungssystemen nutzen', sagte Consumer Reports.

Verbraucherberichte sagten, dass Sie wissen sollten, dass alles in einer Videokonferenz aufgezeichnet werden kann, entweder vom Gastgeber oder einem anderen Teilnehmer.

Es wurde auch empfohlen, sich per Telefon in Videokonferenz-Meetings einzuwählen, nach Möglichkeit keine Konten bei den Diensten zu erstellen und ansonsten „Brenner“-E-Mail-Adressen zu verwenden.

30. April: Zoom wurde wieder beim Ficken erwischt

Zoom-Aktienaktien ist am Donnerstag um fast 9% gesunken , 30. April, dem Tag, an dem das Unternehmen in den NASDAQ 100-Aktienindex aufgenommen wurde.

Nach Aufforderung von Reportern bei Der Rand , Zoom gab zu, dass es in der Tat nicht den jüngsten Höchststand von 300 Millionen täglichen Nutzern hatte, wie es in einem Blog-Beitrag letzte Woche hieß.

Zoom hatte vielmehr einen Spitzenwert von 300 Millionen täglichen „Teilnehmern“. Wenn Sie an mehr als einem Zoom-Meeting pro Tag teilnehmen, werden Sie jedes Mal als separater „Teilnehmer“ gezählt.

„Wir haben diese Teilnehmer unbeabsichtigt als „Benutzer“ und „Menschen“ bezeichnet“, sagte Zoom in einer Erklärung gegenüber The Verge. 'Das war ein echtes Versehen von unserer Seite.'

Wie viele tägliche Benutzer hat Zoom jetzt? Das hat das Unternehmen nicht gesagt.

30. April: Weitere in Schadsoftware eingebettete Zoom-Installer

Forscher von Trend Micro entdeckten eine weitere Zoom-Installationsdatei, die mit Malware beschädigt wurde.

In diesem Fall ist es Spyware, die die Webcam einschalten, Screenshots machen und Tastenkombinationen protokollieren sowie Diagnosedaten über das System sammeln kann, auf dem sie ausgeführt wird. Es installiert auch eine voll funktionsfähige Version des Zoom-Desktop-Clients.

„Da das System eine legitime Zoom-Anwendungsversion (4.6) heruntergeladen hat, wird es die Benutzer nicht misstrauisch machen“, bemerkte das Trend Micro-Team in einem Blogbeitrag. 'Allerdings ist das System zu diesem Zeitpunkt bereits kompromittiert.'

Sie müssen keine Software auf Ihrem Desktop installieren, um Zoom auszuführen. Aber wenn Sie müssen, dann holen Sie sich diese Software nur von der offiziellen Website unter https://zoom.us/download .

29. April: Zoom ein Ziel für ausländische Hacker

Zoom ist ein Hauptziel für ausländische Spione, insbesondere chinesische Geheimdienstler, hat das Heimatschutzministerium US-Regierungsbehörden und Strafverfolgungsbehörden gewarnt abc Nachrichten .

„Das plötzliche immense Wachstum und die Nutzung von Zoom sowohl im öffentlichen als auch im privaten Sektor in Kombination mit seinen weit verbreiteten Cybersicherheitsproblemen schaffen eine anfällige, zielorientierte Umgebung“, heißt es in der DHS-Geheimdienstanalyse. 'Jede Organisation, die derzeit Zoom verwendet oder erwägt, Zoom zu verwenden, sollte das Risiko seiner Verwendung bewerten.'

Ausländische Spione wären an jedem internetbasierten Kommunikationsmedium interessiert, das so stark gewachsen ist. Aber der DHS-Bericht hob China als wahrscheinlichen Einbrecher in die Zoom-Sicherheit hervor, da Zoom in diesem Land eine beträchtliche Anzahl von Mitarbeitern hat.

„Chinas Zugang zu Zoom-Servern macht Peking einzigartig positioniert, um Nutzer des öffentlichen und privaten Sektors in den USA anzusprechen“, zitierte ABC News den DHS-Bericht.

Zoom hat jedoch in der vergangenen Woche bezahlten Meeting-Gastgebern die Möglichkeit gegeben, Zoom-Server in bestimmten Regionen, einschließlich China und Nordamerika, zu vermeiden. Unbezahlte Zoom-Hosts verwenden standardmäßig nur Server in ihren Heimatregionen.

Ein Zoom-Sprecher sagte gegenüber ABC News, der DHS-Bericht sei „stark falsch informiert“ und enthalte „eklatante Ungenauigkeiten“.

28. April: Zoom sicherer zu verwenden als FaceTime von Apple?

Ein neuer Bericht von Mozilla, dem gemeinnützigen Hersteller des Firefox-Webbrowsers, besagt, dass die Datenschutz- und Sicherheitsrichtlinien und -praktiken von Zoom besser sind als die von Apple FaceTime.

Zoom erzielt 5/5 bei Verschlüsselung, Passwortstärke, Updates, Fehlerberichten und Datenschutz, heißt es in dem Bericht, der mit Skype, Signal, Bluejeans und dem Google-Trio Duo, Hangouts und Meet übereinstimmt.

FaceTime hat nur 4,5/5 erhalten, da der Apple-Videoanrufdienst nicht erfordert, dass sich der Benutzer selbstständig bei der App anmeldet.

28. April: Zoom-Phishing-Betrug macht Angst vor der Arbeit von zu Hause aus

Ein neuer Zoom-Phishing-Betrug wird sicher die Aufmerksamkeit von jedem auf sich ziehen, der während der Coronavirus-Sperrung von zu Hause aus arbeitet.

Es scheint von der Personalabteilung Ihres Arbeitgebers zu kommen und lädt Sie ein, in wenigen Minuten an einem Zoom-Meeting teilzunehmen, um eine mögliche Beendigung Ihres Arbeitsverhältnisses zu besprechen.

Wenn Sie auf den Link in der E-Mail klicken, um dem Meeting beizutreten, gelangen Sie zu einer sehr realistisch aussehenden Zoom-Anmeldeseite. Es ist eine Fälschung. Wenn Sie Ihre Zugangsdaten eingeben, können die Gauner Ihr Zoom-Konto übernehmen.

Montag, 27. April: Zoom 5.0 ist erschienen

Zoom hat seine Meeting-Client-Software endlich auf die letzte Woche angekündigte Version 5.0 aktualisiert. Hier ist unsere Anleitung zum Aktualisieren auf Zoom 5.0.

Für iOS ist das Update noch nicht verfügbar, da Apple die Software überprüfen muss, bevor die neue Version der App veröffentlicht werden kann. Wir konnten ab Montagnachmittag Eastern Time (27. April) auch nicht im Google Play App Store sehen, aber die Chancen stehen gut, dass es bald erscheint.

24. April

Zoom-Unternehmensaktie Freitag wieder aufgestanden nachdem die NASDAQ-Börse das bekannt gegeben hatte Zoom würde dem NASDAQ 100-Index beitreten Donnerstag, 30.04.

Kein anderes Unternehmen hat während der Coronavirus-Krise wohl mehr von den Stay-at-Home-Aufträgen profitiert. Es ist schwer vorstellbar, dass Zoom dem NASDAQ 100 beitreten würde, wenn sein täglicher Datenverkehr nicht von 10 Millionen Nutzern im Dezember 2019 auf 300 Millionen Mitte April gestiegen wäre.

23. April

Trotz aller schlechten Nachrichten über Zoom, der Aktienkurs des Unternehmens ist gestiegen am Donnerstag, um 9% danach zu gewinnen die Ankündigung, dass die Zahl der täglichen Nutzer auf 300 Millionen gestiegen ist .

Um dies ins rechte Licht zu rücken, erreichte der tägliche Verbrauch im März mit 200 Millionen Menschen pro Tag seinen Höchststand. sagte das Unternehmen am 1. April . Im Dezember 2019 erreichte die Zoom-Nutzung mit 10 Millionen täglichen Nutzern ihren Höhepunkt.

22. April: Zoom 5.0 angekündigt

In einem etwas irreführende Pressemitteilung/Blogpost , hat Zoom die Ankunft der Version 5.0 seiner Desktop-Software für Windows, Mac und Linux angekündigt.

Die neue Version wird viele der Sicherheitskorrekturen enthalten, die wir kürzlich für die Zoom-Weboberfläche gesehen haben, einschließlich der Möglichkeit, Zoom-Bomber aus Meetings zu vertreiben, sicherzustellen, dass Meeting-Daten nicht durch China gelangen, und alle, die auf ein Meeting warten in einem 'Wartezimmer'. Es fügt dem Host-Bildschirm auch ein Sicherheitssymbol und eine bessere Verschlüsselung von Zoom-Meetings hinzu.

Wir haben überprüft die Zoom-Changelogs und stellte fest, dass das Update erst am Sonntag, 26. April verfügbar sein wird.

22. April: Informations-Scraping mit gefälschter Zoom-Client-Software

Cisco Talos-Forscher sagten, die Meeting-Chat-Funktion von Zoom habe es Außenstehenden zu leicht gemacht, alle Zoom-Benutzer in einer bestimmten Organisation zu finden.

Wenn Sie ein gültiges Zoom-Konto hatten, Cisco Talos in einem Blogbeitrag erklärt , können Sie so tun, als würden Sie in einer beliebigen Organisation arbeiten und die vollständigen Namen und Chat-IDs aller registrierten Zoom-Benutzer abrufen, deren E-Mail-Adresse die E-Mail-Domäne dieser Organisation verwendet.

Sie müssten nicht bestätigen, dass Sie dort gearbeitet haben, und Sie müssten nicht einmal an einem Zoom-Meeting teilnehmen, um die Informationen zu erhalten.

Diese Informationen 'könnten genutzt werden, um weitere Kontaktinformationen offenzulegen, einschließlich der E-Mail-Adresse, der Telefonnummer und aller anderen Informationen, die in ihrer vCard oder digitalen Visitenkarte enthalten sind', schrieb Cisco Talos.

'Diese Sicherheitsanfälligkeit könnte durch einen Spear-Phishing-Angriff gegen bekannte Personen einer Organisation ausgenutzt werden, um die E-Mail-Adressen aller Zoom-Benutzer innerhalb der Organisation zu löschen', heißt es in dem Cisco Talos-Beitrag. 'Benutzer, die kürzlich neue Software installieren mussten, um Remote-Arbeit einzurichten, können besonders anfällig für Social-Engineering-E-Mails sein, die vorgeben, Benutzer anzuweisen, einen neuen oder aktualisierten Trojaner 'Zoom-Client' zu installieren.'

Glücklicherweise hat Zoom dieses Problem behoben, das vollständig auf der Serverseite lag.

STATUS: Fest.

Dienstag, 21. April

In einem Blogeintrag Am 20. April sagte Zoom, die Option, bestimmte Länder von der Anrufweiterleitung auszuschließen, sei jetzt live. Dadurch können Zoom-Meeting-Administratoren vermeiden, dass Meeting-Daten über Zoom-Server in China, den USA oder sieben anderen Regionen und Ländern geleitet werden.

Neu Updates auf der Zoom-Plattform für die am 19. April eingeführte Webschnittstelle umfassen das Maskieren einiger persönlicher Teilnehmerdaten wie E-Mail-Adressen oder Telefonnummern während der Besprechungen. Eine weitere Änderung besteht darin, dass Benutzer, die dieselbe E-Mail-Domain teilen, nicht mehr nach Namen suchen können.

Montag, 20. April

Der New York Times berichteten, dass Dropbox-Führungskräfte so besorgt über Sicherheitslücken in Zoom waren, dass Dropbox 2018 ein eigenes geheimes Bug-Bounty-Programm für Zoom-Fehler erstellte.

Mit anderen Worten, Dropbox würde Hacker für Sicherheitslücken bezahlen, die sie in Zoom gefunden haben. (Dropbox-Mitarbeiter verwendeten Zoom regelmäßig, und Dropbox war ein Investor in Zoom.) Die Times berichtete, dass Dropbox die Fehler bestätigen und dann an Zoom weiterleiten würde, damit Zoom sie beheben kann.

Freitag, 17. April

Zoom-Meeting-Aufzeichnungen sind online leicht zu finden, Teil 2

Auf den Cloud-Servern von Zoom gespeicherte Videoaufzeichnungen von Zoom-Meetings können leicht entdeckt und oft angezeigt werden, sagte ein Sicherheitsforscher Cnet .

beste zwei spieler spiele wechseln

Phil Guimond festgestellt, dass Online-Aufzeichnungen von Zoom-Meetings eine vorhersehbare URL-Struktur haben und somit leicht zu finden sind. (Die Washington Post berichtete letzte Woche über ein ähnliches Problem mit Zoom-Aufzeichnungen, die von Benutzern auf Cloud-Server von Drittanbietern hochgeladen wurden. In diesen Fällen folgten die Dateinamen der Besprechungsaufzeichnungen einem vorhersehbaren Muster.)

Noch bis Zoom hat eine Reihe von Updates veröffentlicht Am vergangenen Dienstag mussten die Aufzeichnungen von Zoom-Meetings nicht passwortgeschützt sein.

Guimond hat ein einfaches Tool entwickelt, das automatisch nach Zoom-Meeting-Aufzeichnungen sucht und versucht, diese zu öffnen.

Wenn ein Meeting ein Passwort hat, versucht sein Tool einen Brute-Force-Zugriff, indem es Millionen möglicher Passwörter durchläuft. Wenn eine Besprechungsaufzeichnung angezeigt werden kann, ist auch die Zoom-Meeting-ID sichtbar, und der Angreifer kann möglicherweise auf zukünftige wiederkehrende Besprechungen zugreifen.

Um Guimonds automatisiertes Tool zu besiegen, fügte Zoom eine Captcha-Herausforderung hinzu, die den Möchtegern-Beobachter für die Aufzeichnung von Meetings dazu zwingt, zu beweisen, dass er ein Mensch ist. Das URL-Muster sei jedoch immer noch dasselbe, so Guimond, und Angreifer könnten immer noch versuchen, jedes generierte Ergebnis manuell zu öffnen.

STATUS: Mit zusätzlichen Hindernissen gegen Angriffe gemildert, aber nicht wirklich behoben.

Donnerstag, 16. April

Zoom hat angekündigt, Luta Security einzustellen , ein Beratungsunternehmen unter der Leitung von Katie Moussouris, um das „Bug Bounty“-Programm von Zoom zu überarbeiten, das Hacker bezahlt, um Softwarefehler zu finden.

Moussouris richtete die ersten Bug-Bounty-Programme bei Microsoft und dem Pentagon ein. In ihr eigener Blogbeitrag , gab sie bekannt, dass Zoom andere angesehene Informationssicherheitsfirmen und -forscher hinzuzieht, um die Sicherheit zu verbessern.

In seinem wöchentlichen Webinar, laut ZDNet .

In anderen Nachrichten hat sich ein Kongressabgeordneter darüber beschwert, dass ein Briefing des Kongresses, das am 3. April über Zoom abgehalten wurde, wurde „gezoomt“ mindestens dreimal.

Mittwoch, 15. April

Der Chef von Standard Chartered, einer in London ansässigen multinationalen Bank, hat die Mitarbeiter gewarnt, Zoom oder Google Hangouts für Remote-Meetings zu verwenden, und verwies auf Sicherheitsbedenken Reuters .

Standard Chartered nutzt in erster Linie die konkurrierende Videokonferenzplattform Blue Jeans, so zwei Bankmitarbeiter, die anonym sprachen.

Letztes Jahr hat Standard Chartered zugestimmt zahlen britischen und amerikanischen Aufsichtsbehörden 1,1 Milliarden US-Dollar nachdem sie zugegeben hatte, dass die Bank Handelssanktionen gegen den Iran verletzt hatte.

Zoom Zero-Day-Exploits im Angebot für 500.000 US-Dollar

Hacker bieten offenbar an, zwei Zero-Day-Exploits in Zoom an den Meistbietenden zu verkaufen. Vize berichtet.

Zero-Days sind Hacks, die Schwachstellen ausnutzen, die dem Softwarehersteller nicht bekannt sind und gegen die Benutzer kaum oder gar keine Abwehr haben.

Quellen, die Vice von den Zero-Days erzählten, sagten, ein Exploit sei für Windows gedacht und erlaube einem entfernten Angreifer die volle Kontrolle über den Computer eines Ziels. Der Haken daran ist, dass der Angreifer und das Ziel im selben Zoom-Call sein müssen. Der Preis beträgt 500.000 US-Dollar.

'Ich denke, es sind nur Kinder, die hoffen, einen Knall zu machen', sagte eine ungenannte Quelle gegenüber Vice.

Der andere Zero-Day soll für macOS gelten und weniger schwerwiegend sein.

STATUS: Offenbar unfixiert.

Dienstag, 14. April

Zoomen angekündigt April, dass Benutzer von kostenpflichtigen Zoom-Konten wählen können, über welche Region der Welt ihre Daten weitergeleitet werden: Australien, Kanada, China, Europa, Indien, Japan/Hongkong, Lateinamerika oder die Vereinigten Staaten.

Dies ist eine Reaktion auf die Entdeckung Anfang April, dass viele Zoom-Meetings, die von US-Bürgern veranstaltet und an denen sie beteiligt waren, über Server mit Sitz in China geleitet wurden, einem Land, das sich das Recht vorbehält, ohne Haftbefehl alles auf einem im Inland befindlichen Server zu sehen.

Benutzer des kostenlosen Dienstes von Zoom werden ihre Daten nur von Servern in ihrer Region verarbeiten lassen.

STATUS: Diese Option ist jetzt für zahlende Zoom-Benutzer verfügbar, die die Weboberfläche anstelle der Desktop-Software verwenden. Die Zoom-Desktop-Software für Windows, Mac und Linux wird diesen 26. April erhalten.

Offene/ungelöste Probleme

Mehr als 500.000 Zoom-Konten zu gewinnen

Benutzernamen und Passwörter für mehr als 500.000 Zoom-Konten werden auf kriminellen Marktplätzen verkauft oder verschenkt.

Diese Konten wurden nicht durch eine Zoom-Datenpanne kompromittiert, sondern durch Credential Stuffing. In diesem Fall versuchen Kriminelle, Konten zu entsperren, indem sie Anmeldeinformationen von Konten wiederverwenden, die bei früheren Datenschutzverletzungen kompromittiert wurden. Es funktioniert nur, wenn ein Kontoinhaber dasselbe Passwort für mehr als ein Konto verwendet.

STATUS: Unbekannt, aber das ist nicht die Schuld von Zoom.

2.300 Sätze von Zoom-Anmeldedaten online gefunden

Forscher von IngSights entdeckten einen Satz von 2.300 Zoom-Anmeldedaten, die in einem kriminellen Online-Forum geteilt wurden.

'Abgesehen von Privatkonten gab es viele Firmenkonten von Banken, Beratungsunternehmen, Bildungseinrichtungen, Gesundheitsdienstleistern und Softwareanbietern', so IntSight Etay Maor schrieb in einem Blogbeitrag vom 10. April.

'Während einige der Konten 'nur' eine E-Mail und ein Passwort enthielten, enthielten andere Meeting-IDs, Namen und Gastgeberschlüssel', schrieb Maor.

Maor erzählte Bedrohungsposten Angesichts ihrer relativ geringen Anzahl schien es nicht so, als ob die Anmeldeinformationen von einer Zoom-Datenverletzung stammten. Er vermutete, dass sie aus „kleinen Listen und Datenbanken anderer Unternehmen/Agenturen“ stammten.

Es ist auch möglich, dass einige der Anmeldeinformationen das Ergebnis von „Credential Stuffing“ waren. Dies ist der (weitgehend) automatisierte Prozess, bei dem Kriminelle versuchen, sich bei Websites einzuloggen, indem sie wahrscheinliche E-Mail-Adressen und wahrscheinliche Passwörter durchgehen und dann alles sammeln, was zu einem positiven Ergebnis führt.

STATUS: Unbekannt. Dies ist wahrscheinlich kein Zoom-Problem an sich.

Zoom 'Zero-Day'-Exploits

Informationssicherheitsforscher wissen davon Mehrere Zoom-Zero-Day-Exploits , nach Vice. Zero-Days sind Exploits für Software-Schwachstellen, von denen der Softwarehersteller nichts weiß und die nicht behoben wurden, und hat daher 'Null Tage' Zeit, um sich vorzubereiten, bevor die Exploits auftauchen.

Eine Vice-Quelle deutete jedoch an, dass auch andere Videokonferenzlösungen Sicherheitslücken aufwiesen. Eine andere Quelle sagte, dass Zoom-Zero-Days aufgrund mangelnder Nachfrage nicht für viel Geld verkauft wurden.

STATUS: Ungelöst, bis einige dieser Mängel ans Licht kommen.

Mit Zoom kompromittierte Konten werden online gehandelt

Kriminelle handeln mit kompromittierten Zoom-Konten im „dunklen Web“. Yahoo Nachrichten gemeldet.

Diese Informationen stammen offenbar von der israelischen Cybersicherheitsfirma Sixgill, die sich auf die Überwachung krimineller Online-Aktivitäten im Untergrund spezialisiert hat. Wir konnten keine Erwähnung der Ergebnisse finden auf die Sixgill-Website .

Sixgill teilte Yahoo mit, 352 kompromittierte Zoom-Konten entdeckt zu haben, die Meeting-IDs, E-Mail-Adressen, Passwörter und Gastgeberschlüssel enthielten. Einige der Konten gehörten Schulen und je eines einem kleinen Unternehmen und einem großen Gesundheitsdienstleister, aber die meisten waren persönlich.

STATUS: Nicht wirklich ein Bug, aber es lohnt sich auf jeden Fall, sich Sorgen zu machen. Wenn Sie ein Zoom-Konto haben, stellen Sie sicher, dass das Passwort nicht mit dem Passwort für jedes andere Konto übereinstimmt, das Sie haben.

Zoom-Installationsprogramm im Paket mit Malware

Forscher bei Trend Micro entdeckte eine Version des Zoom-Installers, die mit Kryptowährungs-Mining-Malware gebündelt wurde, d. h. einem Coin-Miner.

Das Zoom-Installationsprogramm installiert Zoom-Version 4.4.0.0 auf Ihrem Windows-PC, aber es wird mit einem Coin-Miner geliefert, dem Trend Micro den eingängigen Namen Trojan.Win32.MOOZ.THCCABO gegeben hat. (Übrigens, die neueste Zoom-Client-Software für Windows ist bis Version 4.6.9, und Sie sollten sie nur von Hier .)

Der Coin-Miner wird die zentrale Prozessoreinheit Ihres PCs und ggf. die Grafikkarte hochfahren, um mathematische Probleme zu lösen und neue Einheiten von . zu generieren Kryptowährung . Sie werden dies bemerken, wenn Ihre Lüfter plötzlich schneller werden oder wenn der Windows Task-Manager (drücken Sie Strg + Umschalt + Esc) unerwartet starke CPU / GPU-Auslastung anzeigt.

Um zu vermeiden, von dieser Malware getroffen zu werden, stellen Sie sicher, dass Sie eines der besten Antivirenprogramme ausführen, und klicken Sie nicht auf Links in E-Mails, Social-Media-Posts oder Popup-Nachrichten, die eine Installation von Zoom auf Ihrem Computer versprechen.

STATUS: Öffnen, aber das ist nicht das Problem von Zoom. Es kann andere Leute nicht daran hindern, seine Installationssoftware zu kopieren und weiterzugeben.

Zoom-Verschlüsselung nicht das, was sie vorgibt

Zoom führt die Benutzer nicht nur in die Irre hinsichtlich seiner 'End-to-End-Verschlüsselung' (siehe weiter unten), sondern scheint auch die Wahrheit über die Qualität seines Verschlüsselungsalgorithmus zu sagen.

Zoom verwendet AES-256-Verschlüsselung, um Video- und Audiodaten zu codieren, die zwischen Zoom-Servern und Zoom-Clients (d. h. Ihnen und mir) übertragen werden. Aber Forscher an der Bürgerlabor an der University of Toronto in einem am 3. April veröffentlichten Bericht festgestellt, dass Zoom tatsächlich den etwas schwächeren AES-128-Algorithmus verwendet.

Schlimmer noch, Zoom verwendet eine interne Implementierung eines Verschlüsselungsalgorithmus, der Muster aus der Originaldatei beibehält. Es ist, als ob jemand einen roten Kreis auf eine graue Wand gemalt hätte und dann eine Zensorin den roten Kreis mit einem Während-Kreis übermalt hätte. Sie sehen die ursprüngliche Nachricht nicht, aber die Form ist noch vorhanden.

„Wir raten derzeit von der Verwendung von Zoom für Anwendungsfälle ab, die einen hohen Datenschutz und Vertraulichkeit erfordern“, heißt es im Citizen Lab-Bericht, wie z. und „Aktivisten, Anwälte und Journalisten, die an sensiblen Themen arbeiten“.

STATUS: Ungelöst. In einem Blogbeitrag vom 3. April Zoom-CEO Eric S. Yuan räumte das Verschlüsselungsproblem ein, sagte aber nur, dass „wir erkennen, dass wir mit unserem Verschlüsselungsdesign besser abschneiden können“ und „wir erwarten, in den kommenden Tagen mehr an dieser Front zu teilen“.

In Zooms Ankündigung des bevorstehenden Desktop-Software-Updates vom 26. Upgrade der Verschlüsselungsimplementierung bis zum 30. Mai auf ein besseres Format für alle Nutzer umgestellt.

Zoom-Software kann leicht beschädigt werden

Gute Software verfügt über integrierte Anti-Manipulationsmechanismen, um sicherzustellen, dass Anwendungen keinen Code ausführen, der von Dritten geändert wurde.

Zoom verfügt über solche Manipulationsschutzmechanismen, was gut ist. Aber diese Anti-Manipulations-Mechanismen selbst sind nicht vor Manipulationen geschützt, sagte ein britischer Computerstudent, der sich selbst nennt: Lloyd “ in einem Blogbeitrag vom 3. April.

Unnötig zu sagen, das ist schlecht. Lloyd zeigte, wie der Anti-Manipulationsmechanismus von Zoom einfach deaktiviert oder sogar durch eine bösartige Version ersetzt werden kann, die die Anwendung entführt.

Wenn Sie dies mit Kenntnissen über die Funktionsweise von Windows-Software lesen, ist dies eine ziemlich vernichtende Passage: „Diese DLL kann trivial entladen werden, wodurch der Anti-Manipulationsmechanismus null und nichtig wird. Die DLL ist nicht gepinnt, was bedeutet, dass ein Angreifer von einem Drittanbieterprozess einfach einen Remote-Thread einschleusen könnte.'

Mit anderen Worten, Malware, die bereits auf einem Computer vorhanden ist, könnte Zooms eigenen Anti-Manipulationsmechanismus verwenden, um Zoom zu manipulieren. Kriminelle könnten auch voll funktionsfähige Versionen von Zoom erstellen, die geändert wurden, um böswillige Handlungen auszuführen.

STATUS: Ungelöst.

Zoom-Bombardierung

Jeder kann ein öffentliches Zoom-Meeting „bomben“ wenn sie die Besprechungsnummer kennen, und verwenden Sie dann das Dateifreigabefoto, um schockierende Bilder zu posten oder nervige Geräusche im Audio zu machen. Der FBI hat sogar davor gewarnt Vor ein paar Tagen.

Der Gastgeber des Zoom-Meetings kann Störenfriede stummschalten oder sogar rauswerfen, aber sie können sofort mit neuen Benutzer-IDs zurückkehren. Der beste Weg, um Zoom-Bombardierungen zu vermeiden, besteht darin, die Zoom-Meeting-Nummern nur an die vorgesehenen Teilnehmer weiterzugeben. Sie können auch verlangen, dass die Teilnehmer ein Kennwort verwenden, um sich beim Meeting anzumelden.

Am 3. April sagte die US-Staatsanwaltschaft für den östlichen Bezirk von Michigan, dass 'jeder, der sich in eine Telefonkonferenz einhackt, wegen bundesstaatlicher oder bundesstaatlicher Verbrechen angeklagt werden kann'. Es ist nicht klar, ob dies nur für Ost-Michigan gilt.

STATUS: Es gibt einfache Möglichkeiten, Zoom-Bomben zu vermeiden, die wir durchgehen Hier .

Durchsickern von E-Mail-Adressen und Profilfotos

Zoom legt automatisch alle Personen, die dieselbe E-Mail-Domain teilen, in einen Ordner „Unternehmen“, in dem sie die Informationen des anderen sehen können.

Ausnahmen werden für Benutzer gemacht, die große Webmail-Clients wie Gmail, Yahoo, Hotmail oder Outlook.com verwenden, aber anscheinend nicht für kleinere Webmail-Anbieter, von denen Zoom möglicherweise nichts weiß.

Mehrere niederländische Zoom-Benutzer, die vom ISP bereitgestellte E-Mail-Adressen verwenden, haben plötzlich festgestellt, dass sie waren mit Dutzenden von Fremden in derselben 'Gesellschaft' -- und konnte ihre E-Mail-Adressen, Benutzernamen und Benutzerfotos sehen.

STATUS: Ungelöst, aber ein Zoom-Software-Update vom 19. April für Zoom-Webinterface-Benutzer stellt sicher, dass Benutzer derselben E-Mail-Domain nicht mehr automatisch nach Namen suchen können. Die Zoom-Desktop-Client-Software wird am 26. April ähnliche Fixes erhalten.

Verbraucherberichte Blog-Beitrag schrieb Zoom schnell seine Datenschutzrichtlinie um, entfernte die beunruhigendsten Passagen und behauptete, dass 'wir Ihre personenbezogenen Daten nicht verkaufen'.

STATUS: Unbekannt. Wir kennen die Einzelheiten der Geschäftsbeziehungen von Zoom mit Drittwerbetreibenden nicht.

Sie können einen „Kriegslauf“ durchführen, um offene Zoom-Meetings zu finden

Sie können offene Zoom-Meetings finden durch schnelles Durchlaufen möglicher Zoom-Meeting-IDs, sagte ein Sicherheitsforscher dem unabhängigen Sicherheitsblogger Brian Krebs.

Der Forscher kam an Zooms Meeting-Scan-Blocker vorbei, indem er Abfragen über Tor durchführte, die seine IP-Adresse randomisierten. Es ist eine Variante des 'Kriegstreibens', bei der zufällig Telefonnummern gewählt werden, um in den Einwahltagen offene Modems zu finden.

Der Forscher sagte Krebs, dass er mit dem Tool stündlich etwa 100 offene Zoom-Meetings finden könne und dass 'das Aktivieren eines Passworts für das [Zoom]-Meeting das einzige ist, was es besiegt'.

STATUS: Unbekannt.

Zoom-Meeting-Chats bleiben nicht privat

Zwei Twitter Benutzer wies darauf hin, dass, wenn Sie sich in einem Zoom-Meeting befinden und ein privates Fenster in der Chat-App des Meetings verwenden, um privat mit einer anderen Person im Meeting zu kommunizieren, diese Konversation in der Transkription am Ende des Meetings sichtbar ist, die der Gastgeber erhält.

STATUS: Unbekannt.

Gelöste/behobene Probleme

Zoom-Fehler erlaubt Konto-Hijacking

ZU Kurdischer Sicherheitsforscher sagte, Zoom habe ihm ein Bug-Bounty gezahlt – eine Belohnung für das Auffinden eines schwerwiegenden Fehlers – dafür, dass er herausfindet, wie man ein Zoom-Konto entführt, wenn die E-Mail-Adresse des Kontoinhabers bekannt oder erraten war.

Der Forscher, der sich selbst 's3c' nennt, aber mit bürgerlichem Namen Yusuf Abdulla heißen könnte, sagte, wenn er versuchen würde, sich mit einem Facebook-Konto bei Zoom anzumelden, würde Zoom nach der mit diesem Facebook-Konto verknüpften E-Mail-Adresse fragen. Dann öffnete Zoom eine neue Webseite, die ihn darüber informierte, dass eine Bestätigungs-E-Mail an diese E-Mail-Adresse gesendet wurde.

Die URL der Benachrichtigungs-Webseite hätte ein eindeutiges Identifizierungs-Tag in der Adressleiste. Als Beispiel, das viel kürzer ist als das Original, sagen wir 'zoom.com/signup/123456XYZ'.

Als s3c die von Zoom gesendete Bestätigungs-E-Mail erhielt und öffnete, klickte er auf die Bestätigungsschaltfläche im Nachrichtentext. Dies führte ihn zu einer weiteren Webseite, die bestätigte, dass seine E-Mail-Adresse nun mit einem neuen Konto verknüpft war. So weit, ist es gut.

Aber dann bemerkte s3c, dass das eindeutige Identifizierungs-Tag in der URL der Zoom-Bestätigungsseite identisch mit dem ersten ID-Tag war. Nehmen wir das Beispiel 'zoom.com/confirmation/123456XYZ'.

Durch die übereinstimmenden ID-Tags, einer vor der Bestätigung und der andere nach der Bestätigung, hätte s3c den Erhalt der Bestätigungs-E-Mail und das Klicken auf den Bestätigungsbutton komplett vermeiden können.

Tatsächlich hätte er JEDE E-Mail-Adresse – Ihre, meine oder billgates@gmail.com – in das ursprüngliche Anmeldeformular eingeben können. Dann hätte er das ID-Tag von der resultierenden Zoom-Benachrichtigungsseite kopieren und das ID-Tag in eine bereits vorhandene Zoom-Kontobestätigungsseite einfügen können.

Boom, er hätte Zugriff auf jedes Zoom-Konto, das mit der Ziel-E-Mail-Adresse erstellt wurde.

'Selbst wenn Sie Ihr Konto bereits mit einem Facebook-Konto verknüpft haben, hebt Zoom automatisch die Verknüpfung auf und verknüpft es mit dem Facebook-Konto des Angreifers', schrieb s3c in seinem unvollkommenen Englisch.

Und weil mit Zoom jeder, der eine Firmen-E-Mail-Adresse verwendet, alle anderen Benutzer anzeigen kann, die sich mit derselben E-Mail-Domäne angemeldet haben, z. 'company.com', s3c hätte diese Methode nutzen können, um ALLE Zoom-Konten eines bestimmten Unternehmens zu stehlen.

„Wenn also ein Angreifer ein Konto mit der E-Mail-Adresse attacker@companyname.com erstellt und es mit diesem Fehler verifiziert“, schrieb s3c, „kann der Angreifer alle E-Mails anzeigen, die mit *@companyname.com in der Zoom-App in den Unternehmenskontakten erstellt wurden bedeutet, dass der Angreifer alle Konten des Unternehmens hacken kann.'

Zoom hat das Glück, dass s3c einer der Guten ist und diesen Fehler nicht öffentlich bekannt gegeben hat, bevor Zoom ihn beheben konnte. Aber es ist ein so einfacher Fehler, dass es schwer vorstellbar ist, dass ihn vorher niemand bemerkt hat.

STATUS: Behoben, Gott sei Dank.

Zoom entfernt Meeting-IDs von Bildschirmen

Zoom hat Updates für seine . veröffentlicht Fenster , macOS und Linux Desktop-Client-Software, sodass Besprechungs-IDs während Besprechungen nicht auf dem Bildschirm angezeigt werden. Der britische Premierminister Boris Johnson hat in einem Tweet versehentlich eine Zoom-Meeting-ID angezeigt, und das belgische Kabinett hat einen ähnlichen Fehler gemacht.

„Potenzielle Sicherheitslücke“ bei Zoom-Dateifreigabe

In einem 'Fragen Sie mich alles'-Webinar Anfang April, Zoom CEO Eric S. Yuan sagte, Zoom habe „eine potenzielle Sicherheitslücke bei der Dateifreigabe entdeckt, daher haben wir diese Funktion deaktiviert“.

Bis zu dieser Woche konnten Teilnehmer eines Zoom-Meetings über die Chat-Funktion des Meetings Dateien miteinander teilen.

STATUS: Fest.

Zoom kryptografische Schlüssel, die von chinesischen Servern ausgegeben werden

Diese AES128-Verschlüsselungsschlüssel werden von Zoom-Servern an Zoom-Clients ausgegeben, was schön und gut ist, außer dass die Bürgerlabor fanden mehrere Zoom-Server in China, die Zoom-Benutzern Schlüssel ausstellten, selbst wenn sich alle Teilnehmer eines Meetings in Nordamerika befanden.

Da Zoom-Server Zoom-Meetings entschlüsseln können und chinesische Behörden Betreiber chinesischer Server zur Herausgabe von Daten zwingen können, bedeutet dies, dass die chinesische Regierung Ihre Zoom-Meetings möglicherweise sehen kann.

Das müssen schlechte Nachrichten für die britische Regierung sein, die mindestens eine Kabinettssitzung über Zoom abgehalten hat.

STATUS: Offenbar behoben. In einem Blogbeitrag vom 3. April Zoom-CEO Eric S. Yuan antwortete auf den Citizen Lab-Bericht mit den Worten: „Es ist möglich, dass bestimmte Meetings eine Verbindung zu Systemen in China herstellen durften, wo sie keine Verbindung hätten herstellen können. Wir haben dies inzwischen korrigiert.'

Sicherheitslücke bei Zoom-Meeting-Warteräumen

Zoom rät den Gastgebern von Meetings, „Warteräume“ einzurichten, um „Zoom-Bomben“ zu vermeiden. Ein Warteraum hält die Teilnehmer im Wesentlichen in der Warteschleife, bis ein Gastgeber sie entweder alle gleichzeitig oder einzeln hereinlässt.

Das Citizen Lab hat es gefunden ein ernstes Sicherheitsproblem mit Zoom-Wartezimmern , und rieten Gastgebern und Teilnehmern, sie vorerst nicht zu verwenden. Das Citizen Lab gibt die Details noch nicht bekannt, hat Zoom aber über den Fehler informiert.

„Wir raten Zoom-Benutzern, die Vertraulichkeit wünschen, die Zoom-Warteräume nicht zu nutzen“, heißt es in dem Bericht des Citizen Lab. 'Stattdessen empfehlen wir Benutzern, die Passwortfunktion von Zoom zu verwenden.'

STATUS: Fest. In ein Follow-up zu ihrem ersten Bericht . Die Forscher von Citizen Lab gaben bekannt, dass ungebetene Teilnehmer eines Meetings dennoch den Verschlüsselungscode des Meetings aus dem Wartezimmer erhalten könnten.

„Am 7. April berichtete uns Zoom, dass sie eine serverseitige Lösung für das Problem implementiert haben“, sagten die Forscher.

Diebstahl von Windows-Passwörtern

Zoom-Meetings verfügen über Side-Chats, in denen Teilnehmer textbasierte Nachrichten senden und Weblinks posten können.

Aber laut Twitter-Nutzer @_g0dmode und anglo-amerikanische Schulungsfirma für Cybersicherheit Hackerhaus , Zoom machte bis Ende März keinen Unterschied zwischen regulären Webadressen und einer anderen Art von Remote-Netzwerkverbindung, die als Universal Naming Convention (UNC)-Pfad bezeichnet wird. Das blieb Zoom-Chats anfällig für Angriffe .

Wenn ein böswilliger Zoom-Bomber einen UNC-Pfad zu einem Remote-Server, den er kontrollierte, in einen Zoom-Meeting-Chat schob, könnte ein unwissender Teilnehmer darauf klicken.

Der Windows-Computer des Teilnehmers würde dann versuchen, den im Pfad angegebenen Remote-Server des Hackers zu erreichen und automatisch versuchen, sich mit dem Windows-Benutzernamen und -Passwort des Benutzers anzumelden.

Der Hacker könnte das Passwort „Hash“ erfassen und entschlüsseln, wodurch er Zugriff auf das Windows-Konto des Zoom-Benutzers erhält.

STATUS: In Yuans Blogbeitrag heißt es, Zoom habe dieses Problem nun behoben.

Windows-Malware-Injektion

Mohamed A. Baset von der Sicherheitsfirma Seekurity sagte auf Twitter, dass derselbe Dateipfadfehler es einem Hacker auch ermöglichen würde, einen UNC-Pfad zu einer ausführbaren Remote-Datei in einen Zoom-Meeting-Chatroom einzufügen.

Wenn ein Zoom-Benutzer, der Windows ausführt, darauf klickt, wie ein von Baset gepostetes Video zeigte, würde der Computer des Benutzers versuchen, die Software zu laden und auszuführen. Das Opfer wird aufgefordert, die Ausführung der Software zu autorisieren, wodurch einige Hackerversuche gestoppt werden, aber nicht alle.

STATUS: Wenn das Problem mit dem UNC-Dateipfad behoben ist, sollte dies auch der Fall sein.

iOS-Profilfreigabe

Bis Ende März, Zoom hat iOS-Benutzerprofile an Facebook gesendet im Rahmen der Funktion „Mit Facebook anmelden“ in den iPhone- und iPad-Zoom-Apps. Nachdem Vice News die Praxis aufgedeckt hatte, sagte Zoom, es sei sich der Profilfreigabe nicht bewusst gewesen und aktualisierte die iOS-Apps, um dies zu beheben.

STATUS: Fest.

Malware-ähnliches Verhalten auf Macs

Wir haben letzten Sommer erfahren, dass Zoom hackerähnliche Methoden verwendet, um die normalen Sicherheitsvorkehrungen von macOS zu umgehen. Wir dachten, dass das Problem zu diesem Zeitpunkt behoben war, zusammen mit der Sicherheitslücke, die es verursachte.

Aber eine Reihe von Tweets vom 30. März des Sicherheitsforschers Felix Seele, der bemerkte, dass sich Zoom ohne die üblichen Benutzerberechtigungen auf seinem Mac installierte, enthüllten, dass es immer noch ein Problem gab.

Mehr sehen

'Sie (ab)verwenden Vorinstallationsskripte, entpacken die App manuell mit einem mitgelieferten 7zip und installieren sie in /Applications, wenn sich der aktuelle Benutzer in der Admin-Gruppe befindet (kein Root erforderlich'), schrieb Seele.

'Die Anwendung wird installiert, ohne dass der Benutzer seine endgültige Zustimmung erteilt, und es wird eine stark irreführende Aufforderung verwendet, um Root-Rechte zu erlangen. Dieselben Tricks, die auch von macOS-Malware verwendet werden.' (Seele wurde in einem benutzerfreundlicheren Blogbeitrag ausgearbeitet Hier .)

Zoom-Gründer und CEO Eric S. Yuan twitterte eine freundliche Antwort.

'Von einem Mac aus an einem Meeting teilzunehmen ist nicht einfach, deshalb wird diese Methode von Zoom und anderen verwendet', schrieb Yuan. 'Ihr Punkt ist gut aufgenommen und wir werden uns weiter verbessern.'

AKTUALISIEREN: In einem neuen Tweet vom 2. April sagte Seele, dass Zoom eine neue Version des Zoom-Clients für macOS veröffentlicht habe, die „die fragwürdige „Vorinstallation“-Technik und die gefälschte Passwortaufforderung vollständig entfernt“.

„Ich muss sagen, ich bin beeindruckt. Das war eine schnelle und umfassende Reaktion. Gute Arbeit, @zoom_us!' Seele hinzugefügt.

Mehr sehen

STATUS: Fest.

Eine Hintertür für Mac-Malware

Andere Leute könnten Zooms zwielichtige Mac-Installationsmethoden verwenden, renommierte Mac-Hacker Patrick Wardle sagte in einem Blogbeitrag vom 30. März.

Wardle demonstrierte, wie ein lokaler Angreifer – wie ein bösartiger Mensch oder bereits installierte Malware – die früher magischen Kräfte von Zoom zur unbefugten Installation nutzen konnte, um die Berechtigungen zu „eskalieren“ und die vollständige Kontrolle über den Computer zu erlangen, ohne das Administratorkennwort zu kennen.

Wardle zeigte auch, dass ein im Zoom Mac-Client installiertes bösartiges Skript jeder Malware Zooms Webcam- und Mikrofonprivilegien verleihen kann, die den Benutzer nicht zur Autorisierung auffordern und jeden Mac mit installiertem Zoom in ein potenzielles Spionagegerät verwandeln könnten.

„Dies bietet Malware die Möglichkeit, alle Zoom-Meetings aufzuzeichnen oder einfach Zoom im Hintergrund zu starten, um zu beliebigen Zeiten auf das Mikrofon und die Webcam zuzugreifen“, schrieb Wardle.

STATUS: In Yuans Blogbeitrag heißt es, Zoom habe diese Mängel behoben.

Andere Probleme

Zoom verspricht Fehler zu beheben

In einem Blogbeitrag vom 1. April Zoom-CEO und Gründer Eric S. Yuan erkannte die wachsenden Schmerzen von Zoom an und versprach, dass die regelmäßige Entwicklung der Zoom-Plattform ausgesetzt werde, während das Unternehmen an der Behebung von Sicherheits- und Datenschutzproblemen arbeite.

„Wir sind uns bewusst, dass wir die Datenschutz- und Sicherheitserwartungen der Community – und unserer eigenen – nicht erfüllt haben“, schrieb Yuan und erklärte, dass Zoom für große Unternehmen mit internen IT-Mitarbeitern entwickelt wurde, die die Software einrichten und ausführen könnten .

'Wir haben jetzt eine viel breitere Gruppe von Benutzern, die unser Produkt auf unzählige unerwartete Weisen verwenden, was uns vor Herausforderungen stellt, mit denen wir bei der Konzeption der Plattform nicht gerechnet hatten', sagte er. 'Diese neuen Anwendungsfälle, die hauptsächlich Verbraucher sind, haben uns geholfen, unvorhergesehene Probleme mit unserer Plattform aufzudecken. Engagierte Journalisten und Sicherheitsforscher haben auch dazu beigetragen, bereits vorhandene zu identifizieren.'

Um mit diesen Problemen fertig zu werden, schrieb Yuan, würde Zoom 'effektiv sofort eine Funktionssperre einführen und alle unsere technischen Ressourcen verlagern, um uns auf unsere größten Vertrauens-, Sicherheits- und Datenschutzprobleme zu konzentrieren'.

Unter anderem würde Zoom auch „eine umfassende Überprüfung mit externen Experten und repräsentativen Benutzern durchführen, um die Sicherheit aller unserer neuen Anwendungsfälle für Verbraucher zu verstehen und zu gewährleisten“.

Zoom erfordert jetzt standardmäßig Kennwörter für die meisten Zoom-Meetings, obwohl Meeting-Gastgeber diese Funktion deaktivieren können. Passwörter sind der einfachste Weg, das Zoom-Bombing zu stoppen.

Und am 8. April, ehemaliger Chief Security Officer von Facebook und Yahoo Alex Stamos sagte, er werde mit Zoom zusammenarbeiten, um die Sicherheit und den Datenschutz zu verbessern. Stamos ist jetzt außerplanmäßiger Professor in Stanford und genießt in der Informationssicherheitsgemeinschaft hohes Ansehen.

Gefälschte Ende-zu-Ende-Verschlüsselung

Zoom behauptet, dass seine Meetings eine „End-to-End-Verschlüsselung“ verwenden, wenn jeder Teilnehmer von einem Computer oder einer mobilen Zoom-App statt über das Telefon anruft. Aber unter Druck von Das Abfangen , gab ein Zoom-Vertreter zu, dass Zooms Definitionen von „End-to-End“ und „Endpunkt“ nicht mit denen aller anderen übereinstimmen.

'Wenn wir den Ausdruck 'End to End' verwenden', sagte ein Zoom-Sprecher gegenüber The Intercept, 'bezieht er sich auf die Verbindung, die von Zoom-Endpunkt zu Zoom-Endpunkt verschlüsselt wird.'

Klingt gut, aber der Sprecher stellte klar, dass er einen Zoom-Server als Endpunkt zähle.

Jedes andere Unternehmen betrachtet einen Endpunkt als Benutzergerät – einen Desktop, Laptop, Smartphone oder Tablet –, aber nicht als Server. Und jedes andere Unternehmen versteht unter 'End-to-End-Verschlüsselung', dass Server, die Nachrichten von einem Endpunkt zu einem anderen weiterleiten, die Nachrichten nicht entschlüsseln können.

Wenn Sie eine Apple-Nachricht von Ihrem iPhone an einen anderen iPhone-Benutzer senden, helfen die Server von Apple, die Nachricht von einem Ort zum anderen zu übertragen, aber sie können den Inhalt nicht lesen.

Nicht so bei Zoom. Es kann sehen, was in seinen Sitzungen vor sich geht, und manchmal muss es möglicherweise, um sicherzustellen, dass alles richtig funktioniert. Glauben Sie einfach nicht, dass dies nicht möglich ist.

AKTUALISIEREN: In einem Blogbeitrag vom 1. April, Zoom Chief Product Officer Oded Gal schrieb: „Wir möchten uns zunächst für die Verwirrung entschuldigen, die wir verursacht haben, indem wir fälschlicherweise vorgeschlagen haben, dass Zoom-Meetings in der Lage sind, eine Ende-zu-Ende-Verschlüsselung zu verwenden. '

'Wir sind uns bewusst, dass es eine Diskrepanz zwischen der allgemein akzeptierten Definition der Ende-zu-Ende-Verschlüsselung und unserer Verwendung gibt', schrieb er.

Gal versicherte den Benutzern, dass alle von Zoom-Clientanwendungen gesendeten und empfangenen Daten (aber nicht normale Telefonleitungen, geschäftliche Konferenzsysteme oder vermutlich Browserschnittstellen) tatsächlich verschlüsselt sind und dass Zoom-Server oder -Mitarbeiter „sie zu keinem Zeitpunkt entschlüsseln, bevor sie erreicht werden“. die empfangenden Kunden.'

Gal fügte jedoch hinzu: 'Zoom unterhält derzeit das Schlüsselverwaltungssystem für diese Systeme in der Cloud', hat jedoch 'robuste und validierte interne Kontrollen implementiert, um unbefugten Zugriff auf alle Inhalte zu verhindern, die Benutzer während der Besprechungen teilen'.

Die Implikation ist, dass Zoom Benutzerübertragungen nicht freiwillig entschlüsselt. Aber da es die Verschlüsselungsschlüssel enthält, könnte Zoom dies bei Bedarf tun, beispielsweise wenn ihm ein Haftbefehl oder ein US-amerikanischer National Security Letter (im Wesentlichen ein geheimer Haftbefehl) vorgelegt wird.

Für diejenigen, die sich Sorgen über das Schnüffeln der Regierung machen, schrieb Gal, dass 'Zoom nie einen Mechanismus entwickelt hat, um Live-Meetings für rechtmäßige Abhörzwecke zu entschlüsseln, noch haben wir die Möglichkeit, unsere Mitarbeiter oder andere in Meetings einzufügen, ohne in der Teilnehmerliste aufgeführt zu werden.'

Er fügte hinzu, dass Unternehmen und andere Unternehmen bald in der Lage sein würden, ihren eigenen Verschlüsselungsprozess zu handhaben.

'Im Laufe dieses Jahres wird eine Lösung verfügbar sein, die es Unternehmen ermöglicht, die Cloud-Infrastruktur von Zoom zu nutzen, aber das Schlüsselverwaltungssystem in ihrer Umgebung zu hosten.'

STATUS: Hierbei handelt es sich eher um irreführende Werbung als um einen tatsächlichen Softwarefehler. Wir hoffen, dass Zoom aufhört, den Begriff „End-to-End-Verschlüsselung“ falsch zu verwenden, aber denken Sie daran, dass Sie mit Zoom erst dann das Echte bekommen, wenn es vollständig implementiert ist die Technologie, die es mit Keybase kauft .

Zoom-Meeting-Aufzeichnungen finden Sie online

Der Datenschutzforscher Patrick Jackson stellte fest, dass auf dem Computer des Gastgebers gespeicherte Zoom-Meeting-Aufzeichnungen im Allgemeinen einen bestimmten Dateinamen erhalten.

Also durchsuchte er ungeschützte Cloud-Server, um zu sehen, ob jemand Zoom-Aufnahmen hochgeladen hatte, und fand laut mehr als 15.000 ungeschützte Beispiele Die Washington Post . Jackson fand auch einige aufgezeichnete Zoom-Meetings auf YouTube und Vimeo.

Das ist nicht wirklich die Schuld von Zoom. Es liegt am Gastgeber, zu entscheiden, ob ein Meeting aufgezeichnet wird, und Zoom bietet zahlenden Kunden die Möglichkeit, Aufzeichnungen auf den eigenen Servern von Zoom zu speichern. Es liegt auch am Host, den Dateinamen der Aufnahme zu ändern.

Wenn Sie ein Zoom-Meeting veranstalten und beschließen, es aufzuzeichnen, stellen Sie sicher, dass Sie den Standarddateinamen ändern, nachdem Sie fertig sind.

STATUS: Das ist nicht wirklich das Problem von Zoom, um ehrlich zu sein.

Die besten Webcam-Angebote von heuteBlack Friday Sale endet in07Stunden05Minuten30trocken Logitech - C920S HD-Webcam Bester Kauf $ 59,99 Aussicht Reduzierter Preis Razer USA Full HD 1080p 30FPS... Walmart $ 87 71,44 $ Aussicht Razer Kiyo 1080p 30 FPS / 720p ... Amazonas Prime $ 89 Aussicht Schau dir mehr an Black Friday Sale Angebote bei Amazonas Walmart Bester Kauf Dell Wir prüfen täglich über 250 Millionen Produkte auf die besten Preise