Home Technik Zoom behebt Webcam-Fehler für Macs, aber Sicherheitsbedenken bleiben bestehen

Zoom behebt Webcam-Fehler für Macs, aber Sicherheitsbedenken bleiben bestehen

Zoom hat diese Woche einen Patch veröffentlicht, um eine Sicherheitslücke in der Mac-Version seiner Desktop-Video-Chat-App zu schließen, mit der Hacker die Kontrolle über die Webcam eines Benutzers übernehmen können.

Die Sicherheitslücke wurde von dem Sicherheitsforscher Jonathan Leitschuh entdeckt, der Informationen dazu am Montag in einem Blogbeitrag veröffentlichte. Der Fehler betraf potenziell 750.000 Unternehmen und etwa 4 Millionen Personen, die Zoom verwendeten, sagte Leitschuh.

Zoom gab an, "keine Anzeige" zu sehen, wenn Nutzer betroffen sind. Bedenken hinsichtlich des Fehlers und seiner Funktionsweise haben jedoch die Frage aufgeworfen, ob andere ähnliche Apps gleichermaßen anfällig sein könnten.

Der Fehler betrifft eine Funktion in der Zoom-App, mit der Benutzer dank eines eindeutigen URL-Links, der den Benutzer sofort zu einer Videokonferenz aufruft, schnell mit einem Klick an einem Videoanruf teilnehmen können. (Die Funktion dient zum schnellen und nahtlosen Starten der App, um eine bessere Benutzererfahrung zu erzielen.) Mit Zoom können Benutzer ihre Kamera vor dem Beitritt zu einem Anruf ausschalten. Benutzer können die Kamera später in den App-Einstellungen ausschalten. Dies ist die Standardeinstellung soll die kamera an haben.

Zoomfehler IDG

Benutzer müssen dieses Kontrollkästchen in der Zoom-App aktivieren, um den Zugriff auf die Kamera zu beenden.

Leitschuh argumentierte, dass das Feature für schändliche Zwecke verwendet werden könnte. Indem ein Benutzer zu einer Site mit einem im Site-Code eingebetteten und ausgeblendeten Quick-Join-Link geleitet wird, kann die Zoom-App von einem Angreifer gestartet werden, wobei die Kamera und / oder das Mikrofon ohne Erlaubnis eines Benutzers eingeschaltet werden. Dies ist möglich, da Zoom beim Herunterladen der Desktop-App auch einen Webserver installiert.

Einmal installiert, bleibt der Webserver auf dem Gerät – auch nach dem Löschen der Zoom-App.

Nach der Veröffentlichung von Leitschuhs Beitrag hat Zoom Bedenken hinsichtlich des Webservers heruntergespielt. Am Dienstag gab das Unternehmen jedoch bekannt, dass es einen Notfall-Patch zum Entfernen des Webservers von Mac-Geräten herausgeben werde.

„Anfangs sahen wir den Webserver oder die Video-On-Position nicht als signifikantes Risiko für unsere Kunden an und waren der Ansicht, dass dies für unseren nahtlosen Verbindungsprozess von wesentlicher Bedeutung ist“, sagte Zoom-CISO Richard Farley in einem Blogeintrag. "Aber als wir in den letzten 24 Stunden den Aufschrei einiger unserer Benutzer und der Sicherheits-Community hörten, haben wir beschlossen, die Updates für unseren Service vorzunehmen."

Apple hat außerdem am Mittwoch ein "stilles" Update veröffentlicht, das sicherstellt, dass der Webserver auf allen Mac-Geräten entfernt wird. gemäß Techcrunch. Dieses Update würde auch dazu beitragen, Benutzer zu schützen, die den Zoom gelöscht haben.

Anliegen von Unternehmenskunden

In Bezug auf die Schwere der Sicherheitsanfälligkeit gab es unterschiedliche Bedenken. Gemäß Buzzfeed News, Leitschuh klassifizierte seine Ernsthaftigkeit bei 8,5 von 10; Zoom bewertete den Fehler nach eigener Prüfung mit 3,1.

Irwin Lazar, Vice President und Service Director bei Nemertes Research, sagte, dass die Sicherheitslücke selbst kein Grund zur Besorgnis für Unternehmen sein sollte, da Benutzer schnell bemerken würden, dass die Zoom-App auf ihrem Desktop gestartet wird.

"Ich denke nicht, dass dies sehr wichtig ist", sagte er. "Das Risiko besteht darin, dass jemand auf einen Link klickt, der vorgibt, für eine Besprechung zu sein. Dann startet der Zoom-Client und verbindet ihn mit der Besprechung." Wenn das Video standardmäßig aktiviert ist, wird ein Benutzer angezeigt, bis er feststellt, dass dies der Fall ist ist versehentlich einer Besprechung beigetreten. „Sie würden feststellen, dass der Zoom-Client aktiviert wird, und sofort feststellen, dass sie an einer Besprechung teilgenommen haben.

"Im schlimmsten Fall sind sie einige Sekunden vor der Kamera, bevor sie das Meeting verlassen", sagte Lazar.

Obwohl nicht bekannt ist, dass die Sicherheitsanfälligkeit selbst Probleme verursacht hat, ist die Zeit, die Zoom benötigt, um auf das Problem zu reagieren, ein größeres Problem, sagte Daniel Newman, Gründungspartner / Principal Analyst bei Futurum Research.

"Es gibt zwei Möglichkeiten, dies zu betrachten", sagte Newman. "Ab [Wednesday], basierend auf dem Patch, der veröffentlicht wurde [Tuesday]ist die Sicherheitslücke nicht so gravierend.

„Für Unternehmenskunden ist jedoch von Bedeutung, wie sich dieses Problem monatelang ohne Lösung hinzog, wie die anfänglichen Patches zurückgesetzt werden konnten, um die Sicherheitsanfälligkeit wiederherzustellen, und nun gefragt werden muss, ob dieser neueste Patch tatsächlich eine dauerhafte Lösung darstellt Sagte Newman.

Leitschuh sagte, er habe Zoom zum ersten Mal Ende März, einige Wochen vor dem Börsengang des Unternehmens im April, vor der Sicherheitslücke gewarnt. Zunächst wurde ihm mitgeteilt, dass der Sicherheitsingenieur von Zoom "nicht im Amt" sei. Eine vollständige Korrektur wurde erst nach der Sicherheitslücke durchgeführt wurde veröffentlicht (obwohl ein vorübergehender Fix vor dieser Woche eingeführt wurde).

"Letztendlich gelang es Zoom nicht, schnell zu bestätigen, dass die gemeldete Sicherheitsanfälligkeit tatsächlich besteht, und es gelang ihnen nicht, das Problem so schnell wie möglich zu beheben", sagte er. "Eine Organisation mit diesem Profil und einer derart großen Benutzerbasis hätte ihre Benutzer proaktiver vor Angriffen schützen sollen."

In einer Erklärung sagte Zoom-Chef Eric S. Yuan am Mittwoch, das Unternehmen habe "die Situation falsch eingeschätzt und nicht schnell genug reagiert" – und das liegt an uns. Wir übernehmen die volle Verantwortung und haben viel gelernt.

"Was ich Ihnen sagen kann, ist, dass wir die Benutzersicherheit unglaublich ernst nehmen und uns von ganzem Herzen dafür einsetzen, dass unsere Benutzer das Richtige tun."

Andere Anbieter, ähnliche Mängel?

Es ist möglich, dass ähnliche Sicherheitslücken auch in anderen Videokonferenzanwendungen vorhanden sind, da Anbieter versuchen, den Prozess der Teilnahme an Besprechungen zu optimieren.

„Ich habe noch keine anderen Anbieter getestet, aber ich wäre nicht überrascht, wenn sie dies tun [have similar features]Sagte Lazar. "Die Konkurrenten von Zoom haben versucht, ihre schnellen Startzeiten und ihre Erfahrungen mit dem ersten Video zu vereinbaren, und fast jeder kann jetzt schnell an einem Meeting teilnehmen, indem er auf einen Kalenderlink klickt."

Computerwelt Wenden Sie sich an andere führende Anbieter von Videokonferenzsoftware, darunter BlueJeans, Cisco und Microsoft, und fragen Sie, ob für ihre Desktop-Apps auch ein Webserver wie der von Zoom installiert werden muss.

BlueJeans sagte, seine Desktop-App, die auch einen Launcher-Dienst nutzt, könne von bösartigen Websites und nicht aktiviert werden In einem Blogbeitrag wurde heute betont, dass die App vollständig deinstalliert werden kann – einschließlich der Entfernung des Launcher-Dienstes.

"Die BlueJeans Meeting-Plattform ist für keines dieser Probleme anfällig", sagte Alagu Periyannan, CTO und Mitbegründer des Unternehmens.

BlueJeans-Benutzer können sich entweder über einen Webbrowser an einem Videoanruf beteiligen – der "die nativen Berechtigungsflüsse des Browsers nutzt", um an einer Besprechung teilzunehmen – oder über die Desktop-App.

"Von Anfang an wurde unser Launcher-Service mit dem Augenmerk auf Sicherheit implementiert", sagte Periyannan in einer per E-Mail gesendeten Erklärung. „Der Launcher-Service stellt sicher, dass nur von BlueJeans autorisierte Websites (z. B. bluejeans.com) die BlueJeans-Desktop-App zu einer Besprechung starten können. Im Gegensatz zu dem Problem, auf das von verwiesen wird [Leitschuh]können böswillige Websites die BlueJeans-Desktop-App nicht starten.

"Als fortwährende Bemühung bewerten wir weiterhin Verbesserungen der Browser-Desktop-Interaktion (einschließlich der im Artikel zu CORS-RFC1918 angesprochenen Diskussion), um sicherzustellen, dass wir den Benutzern die bestmögliche Lösung bieten", sagte Periyannan Wer mit der Verwendung des Launcher-Dienstes nicht zufrieden ist, kann mit unserem Support-Team zusammenarbeiten, um den Launcher für die Desktop-App zu deaktivieren. “

Ein Cisco-Sprecher sagte, sein Webex-Produkt installiere oder verwende keinen lokalen Webserver und sei von dieser Sicherheitsanfälligkeit nicht betroffen.

Microsoft hat nicht sofort auf eine Anfrage nach einem Kommentar geantwortet.

Auf die Gefahr der Schatten-IT hinweisen

Während die Art der Zoom-Sicherheitsanfälligkeit die Aufmerksamkeit auf sich zog, gehen die Sicherheitsrisiken für große Unternehmen über eine einzige Software-Sicherheitsanfälligkeit hinaus, so Newman. "Ich glaube, dies ist eher ein SaaS- und Shadow-IT-Problem als ein Videokonferenzproblem", sagte er. „Wenn ein Netzwerkgerät nicht ordnungsgemäß eingerichtet und gesichert ist, werden Schwachstellen aufgedeckt. In einigen Fällen können Software und Firmware der Hersteller selbst bei korrekter Einrichtung Probleme verursachen, die zu Sicherheitslücken führen. “

Zoom ist seit seiner Gründung im Jahr 2011 mit einer Reihe großer Unternehmenskunden, darunter Nasdaq, 21, sehr erfolgreichstCentury Fox und Delta. Dies ist größtenteils auf Mundpropaganda, „virale“ Akzeptanz bei den Mitarbeitern und nicht auf Top-Down-Software-Rollouts zurückzuführen, die häufig von IT-Abteilungen angeordnet wurden.

Diese Art der Einführung – die die Popularität von Apps wie Slack, Dropbox und anderen in großen Unternehmen steigerte – kann IT-Teams vor Herausforderungen stellen, die eine strenge Kontrolle der vom Personal verwendeten Software wünschen, so Newman. Wenn Apps nicht von der IT überprüft werden, führt dies zu einem höheren Risiko.

„Unternehmensanwendungen müssen eine Verbindung von Benutzerfreundlichkeit und Sicherheit aufweisen. Diese spezielle Ausgabe zeigt, dass Zoom sich eindeutig mehr auf die ersteren als auf die letzteren konzentriert hat “, sagte er.

"Dies ist einer der Gründe, warum ich gegenüber Webex-Teams und Microsoft-Teams optimistisch bleibe", sagte Newman. „Diese Anwendungen werden in der Regel über die IT eingegeben und von den entsprechenden Parteien überprüft. Darüber hinaus verfügen diese Unternehmen über eine Reihe von Sicherheitsingenieuren, die sich auf die Anwendungssicherheit konzentrieren. “

Er bemerkte die erste Antwort von Zoom – dass sein "Sicherheitsingenieur nicht im Büro war" und mehrere Tage lang nicht antworten konnte. „Es ist schwer vorstellbar, dass eine ähnliche Reaktion bei MSFT oder Microsoft toleriert wird [Cisco]. "

LEAVE A REPLY

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Must Read

A-Rod & J.Los wildes Date im Strip Club

E! Ist überall Dieser Inhalt ist speziell für unser internationales Publikum verfügbar. Möchten Sie dies in unserer US-Ausgabe sehen? E! Ist überall Dieser Inhalt ist speziell für...

Natalie Portman spielt weibliche Thor in Thor 4

Natalie Portman kehrt in gewaltiger Weise zum Marvel Cinematic Universe zurück: als erste Onscreen-Frau Thor! Während des Panels am Samstagabend auf der San Diego Comic-Con...

Eine Gruppe maskierter Männer schlug Bürger in der Hongkonger U-Bahn International

Mehrere Männer in weißen T-Shirts bedrohen demokratiefreundliche Demonstranten in der U-Bahn. Im Video Bilder der Unruhen in Hong Kong. Foto: AFP | Video:...

Festivals, die den Tourismus verjüngen

MIQUEL HERNANDISAlicante Montag, 22 Juli 2019 - 07:26 Benicssim, Benidorm und Cullera haben dank der musikalischen Zitate, für die sie sich entschieden haben, ihr Publikumsprofil geändert Ein junges Publikum wie das, das...

Die Ría de Vigo erhält die Vaurien-Weltmeisterschaft 2021

ABC_NVigo (Pontevedra)Aktualisiert:22.07.2013 10: 42hVigo und seine Mündung werden im Jahr 2021 die 60. Ausgabe der Vaurien-Weltmeisterschaft ausrichten. Die Segler des Real Club Náutico de...