Zero-Day-Lücke in Videoconferencing-App Zoom für Mac

von Urs Binder

10. Juli 2019 - Mac-User, die für Videokonferenzen auf Zoom setzen, sind in akuter Abhörgefahr: Eine Schwachstelle erlaubt es Angreifern, die Webcam unerkannt zu aktivieren oder das System per Denial-of-Service-Angriff lahmzulegen. Ein vollständiger Patch ist noch nicht erhältlich.

Der Sicherheitsforscher Jonathan Leitschuh hat es aufgedeckt: Im Mac Client der Videoconferencing-Anwendung Zoom klafft eine gravierende Sicherheitslücke. Angreifer erhalten damit über ein simples Stück HTML-Code per Drive-by-Infektion Zugriff auf die Webcam des Mac, ohne dass der Nutzer etwas davon merkt. Potentiell betroffen seien bis zu 750'000 Unternehmen, die Zoom für ihr Daily Business nutzen, meint Leitschuh in einem "Medium"-Artikel. Betroffen sei auch das Webconferencing-System Ringcentral, eine White-Label-Version von Zoom.

Entdeckt und dem Hersteller gemeldet hat Leitschuh das Leck bereits im März. Zoom hat nun einen Fix in Aussicht gestellt. Das Problem ist jedoch vielfältig: Der unbefugte Zugriff auf die Webcam wurde bisher nicht gepatcht. Die Schwachstelle erlaubt es darüber hinaus auch, einen Mac per Denial-of-Service lahmzulegen, indem der Nutzer immer wieder zu einem ungültigen Call hinzugefügt wird. Das DoS-Problem hat Zoom in Version 4.4.2 des Mac-Clients inzwischen behoben.

Wer ganz sicher gehen will, möchte Zoom womöglich deinstallieren. Mit dem Entfernen der App ist es allerdings nicht getan: Bei der Installation von Zoom wird auf dem Mac ein Webserver mitinstalliert, der die Video-Calls verwaltet. Damit ist es zum Beispiel möglich, Teilnehmer mit einem einfachen Link einzuladen, unter Umgehung der Berechtigungsanfrage des Browsers. Der Webserver verbleibt im System, auch wenn die Zoom-App deinstalliert wurde. Und die Zoom-App kann über den Server unbemerkt neu installiert werden.

Als erste Gegenmassnahme empfiehlt sich, in den Zoom-Einstellungen die automatische Aktivierung von Kamera und Mikrofon abzuschalten. Des weiteren empfiehlt Leitschuh, den Zoom-Webserver vom System zu entfernen. Dies ist jedoch nur mit diversen Befehlen im Terminal möglich. Der Autor beschreibt im Abschnitt "Patch Yourself" seines Artikels, wie das geht.

Copyright by Swiss IT Media 2019