Terug naar het overzicht

27 april 2021

Zoom beveiligingsproblemen: hier is alles wat (tot nu toe) is misgegaan

In Zoom zijn tientallen beveiligings- en privacyproblemen aangetroffen. Hier is een bijgewerkte lijst.

Gebruikt u Zoom? Iedereen die tijdens de aanhoudende coronaviruspandemie vanuit huis moest werken of schoolwerk moest doen, heeft het videoconferentieplatform gebruikt voor vergaderingen, lessen en zelfs sociale bijeenkomsten.

Er zijn goede redenen waarom Zoom van de grond is gekomen en andere platforms dat niet zo goed hebben gedaan. Zoom is eenvoudig in te stellen, gebruiksvriendelijk, laat maximaal 100 mensen gratis deelnemen aan een vergadering en genereert nu zelfs live ondertiteling. Het werkt gewoon.

Maar het gebruiksgemak van Zoom heeft het voor onruststokers gemakkelijk gemaakt om geopende Zoom-vergaderingen te “bombarderen”. Informatiebeveiligingsprofessionals zeggen dat de beveiliging van Zoom veel gaten heeft gekend, hoewel de meeste de afgelopen jaren zijn verholpen.

Nadat de vergrendeling was begonnen, voegde Zoom tweefactorauthenticatie toe als beveiligingsoptie, waardoor gebruikers een krachtig wapen kregen om hun accounts te beschermen tegen overname.

Er is ook gekeken naar het privacybeleid van Zoom, dat Zoom begin 2020 het recht leek te geven om te doen wat het wilde met de persoonlijke gegevens van gebruikers, en het coderingsbeleid, dat nogal misleidend was.

Dat zorgde al vroeg in de pandemie voor een terugslag tegen Zoom. In april 2020 gingen openbare scholen in New York City over om Zoom-vergaderingen te verbieden, en andere schoolsystemen deden hetzelfde, hoewel New York het Zoom-verbod een maand later ophief.

Met al deze problemen zijn mensen op zoek geweest naar alternatieven voor Zoom, dus bekijk onze Skype vs Zoom face-off om te zien hoe een oude video-app zich heeft aangepast voor videoconferenties. We hebben ook Zoom versus Google Hangouts vergeleken.

Zoom is in de meeste gevallen nog steeds veilig te gebruiken

Is Zoom onveilig om te gebruiken? Nee. Tenzij u staats- of bedrijfsgeheimen bespreekt of persoonlijke gezondheidsinformatie aan een patiënt bekendmaakt, zou Zoom in orde moeten zijn.

Voor schoolklassen, bijeenkomsten na het werk of zelfs vergaderingen op de werkplek die bij routinezaken blijven, is er niet veel risico bij het gebruik van Zoom. Kinderen zullen er waarschijnlijk naar toe blijven komen, omdat ze zelfs Snapchat-filters op Zoom kunnen gebruiken.

Zoom beveiligingstips

Neem deel aan Zoom-vergaderingen via uw webbrowser in plaats van via de Zoom-desktopsoftware. De webbrowserversie krijgt sneller beveiligingsverbeteringen.

“De webversie bevindt zich in een sandbox in de browser en heeft niet de rechten die een geïnstalleerde app heeft, waardoor de hoeveelheid schade die deze mogelijk kan veroorzaken, wordt beperkt”, merkt informatiebeveiligingsbedrijf Kaspersky op.

Wanneer u op een link klikt om deel te nemen aan een vergadering, opent uw browser een nieuw tabblad en vraagt ​​u om de Zoom-desktopsoftware te gebruiken of te installeren. Maar in de kleine lettertjes is er een link om mee te doen vanuit uw browser. Klik daarop.

Als u een Zoom-vergadering organiseert, vraagt ​​u de deelnemers aan de vergadering zich aan te melden met een wachtwoord. Dat maakt Zoom-bombardementen veel minder waarschijnlijk.

Stel tweefactorauthenticatie in voor uw Zoom-account.

Zoom creëert een enorm “aanvalsoppervlak” en hackers zullen er op elke mogelijke manier op ingaan. Ze hebben al veel Zoom-gerelateerde nep-domeinen geregistreerd en ontwikkelen malware met Zoom-thema.

Het voordeel is dat als er veel tekortkomingen in Zoom worden gevonden en meteen worden verholpen, Zoom er beter en veiliger voor zal zijn.

“Zoom wordt binnenkort de veiligste vergadertool die er is”, schreef techjournalist Kim Zetter in april 2020 op Twitter. “Maar jammer dat ze zichzelf niet wat verdriet bespaarden en zelf een aantal veiligheidsbeoordelingen hebben uitgevoerd om deze rechtszaak te vermijden. door vuur. “

Tegengestelde weergave: Zoom wordt binnenkort de veiligste vergadertool die er is. (Maar jammer dat ze zichzelf niet wat verdriet hebben bespaard en zelf een aantal veiligheidsbeoordelingen hebben uitgevoerd om dit proces door vuur te voorkomen).

Alles wat de laatste tijd mis is gegaan met Zoom

Om onszelf (en u) gezond te houden, hebben we de meest recente Zoom-problemen bovenaan geplaatst en oudere problemen gescheiden in problemen die niet zijn opgelost, problemen die zijn opgelost en problemen die niet in een van beide categorieën passen.

Donderdag 8 april: Zoomfout laat hacker pc’s en Macs kapen

Twee onderzoekers toonden tijdens de Pwn2Own-wedstrijd aan dat ze op afstand Windows-pc’s en Macs konden overnemen door ten minste één voorheen onbekende kwetsbaarheid in de Zoom-desktopapp te gebruiken.

Gelukkig zijn de enige mensen die volledig begrijpen hoe deze exploit werkt, de twee onderzoekers en Zoom zelf, die aan een oplossing werkt. De kans dat deze aanval “in het wild” wordt gebruikt, is klein, maar als u zich zorgen maakt, kunt u tijdens vergaderingen de Zoom-browserinterface gebruiken totdat dit is verholpen.

Vrijdag 19 maart: Flaw laat andere Zoom-gebruikers veel te veel zien

Met Zoom kunnen deelnemers aan de vergadering al hun computerschermen, een deel van hun schermen of alleen specifieke toepassingsvensters delen met andere mensen in dezelfde vergadering.

Twee Duitse onderzoekers ontdekten dat het hele scherm even zichtbaar kan zijn, zelfs wanneer de Zoom-gebruiker het scherm deelt, maar een deel van het scherm wil zijn. Alle deelnemers die de vergadering opnemen, kunnen frames stilzetten tijdens het afspelen en mogelijk gevoelige informatie bekijken.

Zoom zei dat het werkte om het probleem op te lossen, maar op het moment van schrijven was de fout nog steeds aanwezig in de nieuwste versie van de Zoom-desktopclientsoftware voor ten minste Windows en Linux.

Dinsdag 23 februari: Zoom’s Keybase gecodeerde chat lost een ernstige fout op

Keybase, een versleuteld verificatiesysteem voor sociale media en een chat-app gekocht door Zoom in mei 2020, had een ernstige fout waardoor afbeeldingen in online mappen werden bewaard, zelfs nadat de gebruiker ze had verwijderd.

De fout werd begin januari 2021 aan Zoom gemeld en later die maand werd een Keybase-software-update uitgebracht om de fout te verhelpen.

Maandag 8 februari: Onderzoek zegt dat het proberen om Zoom-bombing te stoppen vaak niet zal werken

Een nieuwe studie uitgevoerd door onderzoekers van Boston University en Binghamton University ontdekte dat pogingen om “Zoom bombing” te stoppen, zoals het vragen van wachtwoorden of het laten stoven van bezoekers in “wachtkamers”, vaak niet werken.

Dat komt omdat veel aanvallen worden uitgevoerd door ‘insiders’ die al bevoegd zijn om de vergaderingen bij te wonen.

“ Onze bevindingen geven aan dat de overgrote meerderheid van de oproepen voor Zoom-bombardementen niet wordt gedaan door aanvallers die struikelen over uitnodigingen voor ontmoetingen of het brute forceren van hun vergaderings-ID, maar eerder door insiders die legitieme toegang hebben tot deze bijeenkomsten, met name studenten op de middelbare school en hogescholen ‘, zegt de krant, getiteld’ A First Look at Zoombombing ‘.

De “enige effectieve verdediging” tegen dergelijke aanvallen van binnenuit, stelt de krant, is het creëren van “unieke verbindingslinks voor elke deelnemer”.

Vrijdag 29 januari: City werkt eraan om Zoom-bombardementen te verbieden

Geplaagd door een epidemie van Zoom-bombardementen tijdens stadsvergaderingen, onderzoekt de stad Juneau, Alaska manieren om de praktijk te verbieden.

“We hebben er een paar gehad op het niveau van de assemblee, we hebben er een paar gehad op het niveau van het schoolbestuur, we hebben er een paar gehad tijdens een aantal commissievergaderingen,” zei stadsadvocaat Rob Palmer, volgens de website van radiostation KTOO.

De politie in de hoofdstad van Alaska heeft het moeilijk gehad om de Zoom-bommenwerpers op te sporen. Door de praktijk illegaal te maken, hoopt de stad Zoom te dwingen informatie over te dragen die de digitale onverlaten identificeert.

Open / onopgeloste problemen

Meer dan 500.000 Zoom-accounts liggen voor het oprapen

Gebruikersnamen en wachtwoorden voor meer dan 500.000 Zoom-accounts worden verkocht of weggegeven op criminele markten.

Deze accounts zijn niet gecompromitteerd als gevolg van een Zoom-datalek, maar in plaats daarvan door het opvullen van inloggegevens. Dat is het moment waarop criminelen accounts proberen te ontgrendelen door inloggegevens te hergebruiken van accounts die zijn gecompromitteerd tijdens eerdere datalekken. Het werkt alleen als een accounthouder hetzelfde wachtwoord voor meer dan één account gebruikt.

STATUS: Onbekend, maar dit is niet de schuld van Zoom.

2300 sets Zoom-inloggegevens online gevonden

Onderzoekers van IngSights ontdekten dat een set van 2.300 Zoom-inloggegevens werd gedeeld op een crimineel online forum.

“Afgezien van persoonlijke rekeningen, waren er veel zakelijke rekeningen van onder meer banken, adviesbureaus, onderwijsinstellingen, zorgaanbieders en softwareleveranciers”, schreef Etay Maor van IntSight op 10 april in een blogpost.

“Terwijl sommige van de accounts ‘slechts’ een e-mailadres en wachtwoord bevatten, bevatten andere ID’s voor vergaderingen, namen en hostsleutels”, schreef Maor.

Maor vertelde Threatpost dat het niet leek alsof de inloggegevens afkomstig waren van een Zoom-datalek, gezien hun relatief kleine aantal. Hij theoretiseerde dat ze afkomstig waren van “kleine lijsten en databases die door andere bedrijven / agentschappen worden bijgehouden”.

Het is ook mogelijk dat sommige inloggegevens het resultaat waren van “vulling van inloggegevens”. Dat is het (grotendeels) geautomatiseerde proces waarmee criminelen proberen in te loggen op websites door door waarschijnlijke e-mailadressen en waarschijnlijke wachtwoorden te bladeren en vervolgens te oogsten wat een positief resultaat oplevert.

Status onbekend. Dit is waarschijnlijk niet per se een Zoom-probleem.

Zoom ‘zero-day’-exploits in

Volgens Vice zijn onderzoekers op het gebied van informatiebeveiliging op de hoogte van verschillende ‘zero-day’-exploits van Zoom. Zero-days zijn exploits voor softwarekwetsbaarheden die de softwaremaker niet kent en niet heeft verholpen, en heeft daarom “zero dagen” om zich voor te bereiden voordat de exploits verschijnen.

Eén Vice-bron suggereerde echter dat andere oplossingen voor videoconferenties ook beveiligingsproblemen hadden. Een andere bron zei dat Zoom zero-days niet voor veel geld werden verkocht vanwege een gebrek aan vraag.

STATUS: Onopgelost totdat enkele van deze tekortkomingen aan het licht komen.

Zoom gecompromitteerde accounts die online worden verhandeld

Criminelen verhandelen gecompromitteerde Zoom-accounts op het “dark web”, meldde Yahoo News.

Deze informatie was blijkbaar afkomstig van het Israëlische cyberbeveiligingsbedrijf Sixgill, dat gespecialiseerd is in het monitoren van ondergrondse online criminele activiteiten. We konden geen enkele vermelding van de bevindingen vinden op de Sixgill-website.

Sixgill vertelde Yahoo dat het 352 gecompromitteerde Zoom-accounts had gezien, waaronder vergaderings-ID’s, e-mailadressen, wachtwoorden en hostsleutels. Sommige rekeningen waren van scholen en een van elk van een klein bedrijf en een grote zorgverlener, maar de meeste waren persoonlijk.

STATUS: Niet echt een bug, maar zeker de moeite waard om je zorgen over te maken. Als je een Zoom-account hebt, zorg er dan voor dat het wachtwoord niet hetzelfde is als het wachtwoord van een ander account dat je hebt.

Zoom-installatieprogramma gebundeld met malware

Onderzoekers van Trend Micro ontdekten een versie van het Zoom-installatieprogramma dat is gebundeld met malware voor het delven van cryptovaluta, namelijk een muntmijnwerker.

Het Zoom-installatieprogramma zet Zoom-versie 4.4.0.0 op uw Windows-pc, maar het wordt geleverd met een munt-mijnwerker die Trend Micro de pakkende naam Trojan.Win32.MOOZ.THCCABO heeft gegeven. (Trouwens, de nieuwste Zoom-clientsoftware voor Windows is tot versie 4.6.9, en je zou deze alleen vanaf hier moeten downloaden.)

De munt-mijnwerker zal de centrale processoreenheid van uw pc en de grafische kaart, als die er is, opvoeren om wiskundige problemen op te lossen en nieuwe cryptocurrency-eenheden te genereren. Je zult dit merken als je fans plotseling versnellen of als Windows Task Manager (druk op Ctrl + Shift + Esc) onverwacht zwaar CPU / GPU-gebruik vertoont.

Om te voorkomen dat u door deze malware wordt geraakt, moet u ervoor zorgen dat u een van de beste antivirusprogramma’s gebruikt en niet op links in e-mails, posts op sociale media of pop-upberichten klikken die beloven Zoom op uw computer te installeren.

STATUS: Open, maar dit is niet het probleem van Zoom om op te lossen. Het kan andere mensen er niet van weerhouden de installatiesoftware te kopiëren en opnieuw te verspreiden.

Zoom-encryptie niet wat het beweert te zijn

Zoom misleidt niet alleen gebruikers over zijn “end-to-end encryptie” (zie verderop), maar het lijkt ronduit, eh, niet de waarheid te vertellen over de kwaliteit van zijn encryptie-algoritme.

Zoom zegt dat het AES-256-codering gebruikt om video- en audiogegevens te coderen die tussen Zoom-servers en Zoom-clients (d.w.z. jij en ik) reizen. Maar onderzoekers van het Citizen Lab van de Universiteit van Toronto ontdekten in een rapport van 3 april dat Zoom eigenlijk het ietwat zwakkere AES-128-algoritme gebruikt.

Erger nog, Zoom gebruikt een interne implementatie van een coderingsalgoritme dat patronen uit het originele bestand behoudt. Het is alsof iemand een rode cirkel op een grijze muur tekende, en vervolgens een censor over de rode cirkel schilderde met een pooscirkel. Je ziet het oorspronkelijke bericht niet, maar de vorm is er nog steeds.

“We raden het gebruik van Zoom op dit moment af voor gebruikssituaties die een sterke privacy en vertrouwelijkheid vereisen”, zegt het Citizen Lab-rapport, zoals “regeringen die bezorgd zijn over spionage, bedrijven die bezorgd zijn over cybercriminaliteit en industriële spionage, zorgverleners die omgaan met gevoelige patiëntinformatie” en “activisten, advocaten en journalisten die aan gevoelige onderwerpen werken”.

STATUS: onopgelost. In een blogpost van 3 april erkende Zoom-CEO Eric S. Yuan het coderingsprobleem, maar zei alleen dat “we erkennen dat we het beter kunnen doen met ons coderingsontwerp” en “we verwachten de komende dagen meer te delen op dit front. . “

In Zoom’s aankondiging van de aanstaande 26 april update van de desktopsoftware, zei Zoom dat het de coderingsimplementatie tegen 30 mei zou upgraden naar een beter formaat voor alle gebruikers.

Zoomsoftware kan gemakkelijk worden beschadigd

Goede software heeft ingebouwde antimanipulatie-mechanismen om ervoor te zorgen dat applicaties geen code uitvoeren die door een derde partij is gewijzigd.

Zoom heeft dergelijke anti-manipulatie-mechanismen op zijn plaats, wat goed is. Maar die anti-manipulatiemechanismen zelf zijn niet beschermd tegen manipulatie, zei een Britse computerstudent die zichzelf “Lloyd” noemt in een blogpost van 3 april.

Onnodig te zeggen dat dat slecht is. Lloyd liet zien hoe het anti-sabotagemechanisme van Zoom eenvoudig kan worden uitgeschakeld of zelfs kan worden vervangen door een kwaadaardige versie die de applicatie kaapt.

Als je dit leest met een praktische kennis van hoe Windows-software werkt, is dit een behoorlijk vernietigende passage: “Deze DLL kan triviaal worden verwijderd, waardoor het anti-sabotagemechanisme ongeldig wordt. De DLL is niet vastgezet, wat een aanvaller betekent. van een proces van een derde partij kan gewoon een externe thread injecteren.

Met andere woorden, malware die al op een computer aanwezig is, zou Zoom’s eigen anti-sabotage-mechanisme kunnen gebruiken om met Zoom te knoeien. Criminelen kunnen ook volledig werkende versies van Zoom maken die zijn aangepast om kwaadwillende handelingen uit te voeren.

STATUS: onopgelost.

Zoombombardementen

Iedereen kan een openbare Zoom-vergadering “bombarderen” als ze het vergaderingsnummer kennen, en vervolgens de foto voor het delen van bestanden gebruiken om schokkende beelden te plaatsen of vervelende geluiden in de audio te maken. De FBI heeft er een paar dagen geleden zelfs voor gewaarschuwd.

De gastheer van de Zoom-vergadering kan onruststokers dempen of zelfs uitschakelen, maar ze kunnen meteen terugkomen met nieuwe gebruikers-ID’s. De beste manier om Zoom-bombardementen te voorkomen, is door de nummers van Zoom-vergaderingen alleen met de beoogde deelnemers te delen. U kunt deelnemers ook verplichten een wachtwoord te gebruiken om in te loggen bij de vergadering.

Op 3 april zei het U.S. Attorney’s Office for the Eastern District of Michigan dat “iedereen die een teleconferentie hackt, kan worden beschuldigd van staats- of federale misdaden.” Het is niet duidelijk of dat alleen geldt voor Oost-Michigan.

STATUS: Er zijn eenvoudige manieren om Zoom-bombardementen te vermijden, die we hier bespreken.

Lekken van e-mailadressen en profielfoto’s

Zoom plaatst automatisch iedereen die hetzelfde e-maildomein deelt in een “bedrijfsmap” waar ze elkaars informatie kunnen zien.

Er worden uitzonderingen gemaakt voor mensen die grote webmailclients gebruiken, zoals Gmail, Yahoo, Hotmail of Outlook.com, maar blijkbaar niet voor kleinere webmailproviders waarvan Zoom misschien niets weet.

Verschillende Nederlandse Zoom-gebruikers die door de ISP verstrekte e-mailadressen gebruiken, ontdekten plotseling dat ze in hetzelfde “bedrijf” zaten met tientallen vreemden – en konden hun e-mailadressen, gebruikersnamen en gebruikersfoto’s zien.

STATUS: onopgelost, maar een Zoom-software-update van 19 april voor gebruikers van Zoom-webinterface zorgt ervoor dat gebruikers op hetzelfde e-maildomein niet langer automatisch op naam naar elkaar kunnen zoeken. De Zoom-desktopclientsoftware krijgt op 26 april vergelijkbare oplossingen.

Delen van persoonlijke gegevens met adverteerders

Verschillende privacy-experts, waarvan sommigen voor Consumer Reports werkten, bestudeerden het privacybeleid van Zoom en ontdekten dat het Zoom blijkbaar het recht gaf om de persoonlijke gegevens van Zoom-gebruikers te gebruiken en te delen met externe marketeers.

Na een blogpost van Consumer Reports herschreef Zoom snel zijn privacybeleid, schrapte de meest verontrustende passages en beweerde dat “we uw persoonlijke gegevens niet verkopen”.

Status onbekend. We kennen de details niet van de zakelijke transacties van Zoom met externe adverteerders.

U kunt ‘war drive’ gebruiken om open Zoom-vergaderingen te vinden

U kunt open Zoom-vergaderingen vinden door snel door mogelijke Zoom-vergader-ID’s te bladeren, vertelde een beveiligingsonderzoeker aan de onafhankelijke beveiligingsblogger Brian Krebs.

De onderzoeker kwam voorbij Zoom’s meeting-scan blocker door zoekopdrachten uit te voeren via Tor, die zijn IP-adres willekeurig verdeelde. Het is een variatie op “war rijden” door willekeurig telefoonnummers te kiezen om open modems te vinden tijdens de inbeldagen.

De onderzoeker vertelde Krebs dat hij elk uur ongeveer 100 open Zoom-vergaderingen kon vinden met de tool, en dat “het hebben van een wachtwoord ingeschakeld op de [Zoom] -vergadering het enige is dat het omzeilt.”

Status onbekend.

Zoomvergaderingschats blijven niet privé

Twee Twitter-gebruikers wezen erop dat als je in een Zoom-vergadering zit en een privévenster in de chat-app van de vergadering gebruikt om privé te communiceren met een andere persoon in de vergadering, dat gesprek zichtbaar zal zijn in het transcript aan het einde van de vergadering dat de host ontvangt. .

Status onbekend.

Opgeloste / opgeloste problemen

Zoomfout maakte accountkaping mogelijk

Een Koerdische beveiligingsonderzoeker zei dat Zoom hem een ​​bugbounty betaalde – een beloning voor het vinden van een ernstige fout – voor het vinden van hoe hij een Zoom-account kon kapen als het e-mailadres van de accounthouder bekend of geraden was.

De onderzoeker, die zichzelf “s3c” noemt maar wiens echte naam Yusuf Abdulla kan zijn, zei dat als hij zou proberen in te loggen op Zoom met een Facebook-account, Zoom zou vragen naar het e-mailadres dat aan dat Facebook-account is gekoppeld. Vervolgens zou Zoom een ​​nieuwe webpagina openen om hem te laten weten dat er een bevestigingsmail naar dat e-mailadres was gestuurd.

De URL van de webpagina met meldingen zou een unieke identificatietag in de adresbalk hebben. Als voorbeeld dat veel korter is dan het echte werk, laten we zeggen dat het “zoom.com/signup/123456XYZ” is.

Toen s3c het bevestigingsbericht van Zoom ontving en opende, klikte hij op de bevestigingsknop in de hoofdtekst van het bericht. Dit bracht hem naar weer een webpagina die bevestigde dat zijn e-mailadres nu aan een nieuw account was gekoppeld. Tot nu toe zo goed.

Maar toen merkte s3c dat de unieke identificatietag in de URL van de Zoom-bevestigingswebpagina identiek was aan de eerste ID-tag. Laten we het voorbeeld “zoom.com/confirmation/123456XYZ” gebruiken.

De overeenkomende ID-tags, de ene gebruikt vóór bevestiging en de andere na bevestiging, betekende dat s3c had kunnen vermijden de bevestigingsmail te ontvangen en helemaal niet op de bevestigingsknop te klikken.

In feite had hij ELK e-mailadres kunnen invoeren – het jouwe, het mijne of billgates@gmail.com – in het originele aanmeldingsformulier. Dan had hij de ID-tag van de resulterende Zoom-meldingspagina kunnen kopiëren en de ID-tag in een reeds bestaande Zoom-accountbevestigingspagina kunnen plakken.

Boom, hij zou toegang hebben tot elk Zoom-account dat is gemaakt met het beoogde e-mailadres.

“Zelfs als je je account al aan een Facebook-account hebt gekoppeld, ontkoppel Zoom het automatisch en koppel het aan het Facebook-account van de aanvaller”, schreef s3c in zijn onvolmaakte Engels.

En omdat Zoom iedereen die een zakelijk e-mailadres gebruikt, alle andere gebruikers laat zien die zijn aangemeld met hetzelfde e-maildomein, bijv. “company.com”, had s3c deze methode kunnen gebruiken om ALLE Zoom-accounts van een bepaald bedrijf te stelen.

“Dus als een aanvaller een account maakt met het e-mailadres aanvaller@bedrijfsnaam.com en dit verifieert met deze bug”, schrijft s3c, “kan de aanvaller alle e-mails bekijken die zijn gemaakt met *@bedrijfsnaam.com in de Zoom-app in Bedrijfscontacten, zodat betekent dat de aanvaller alle accounts van het bedrijf kan hacken. “

Zoom heeft het geluk dat s3c een van de goeden is en deze fout niet openbaar heeft gemaakt voordat Zoom het kon repareren. Maar het is zo’n simpele fout dat het moeilijk voor te stellen is dat niemand anders het eerder heeft opgemerkt.

STATUS: Opgelost, godzijdank.

Zoom verwijdert vergaderings-ID’s van schermen

Zoom heeft updates uitgebracht voor zijn Windows-, macOS- en Linux-desktopclientsoftware, zodat ID’s van vergaderingen niet op het scherm worden weergegeven tijdens vergaderingen. De Britse premier Boris Johnson toonde per ongeluk een Zoom-vergaderings-ID in een tweet en het Belgische kabinet maakte een soortgelijke fout.

‘Potentiële beveiligingslek’ met Zoom-bestandsdeling

In een webinar “vraag me iets” begin april zei Eric S. Yuan, CEO van Zoom, dat Zoom “een potentieel beveiligingsprobleem bij het delen van bestanden had ontdekt, dus hebben we die functie uitgeschakeld”.

Tot deze week konden deelnemers aan een Zoom-meeting bestanden met elkaar delen via de chatfunctie van de meeting.

STATUS: opgelost.

Zoom cryptografische sleutels uitgegeven door Chinese servers

Die AES128-coderingssleutels worden door Zoom-servers aan Zoom-clients verstrekt, en dat is allemaal goed en wel, behalve dat het Citizen Lab verschillende Zoom-servers in China heeft gevonden die sleutels uitgeven aan Zoom-gebruikers, zelfs als alle deelnemers aan een vergadering in Noord-Amerika waren.

Aangezien Zoom-servers Zoom-vergaderingen kunnen decoderen en Chinese autoriteiten exploitanten van Chinese servers kunnen dwingen gegevens over te dragen, impliceert dit dat de Chinese regering uw Zoom-vergaderingen kan zien.

Dat moet slecht nieuws zijn voor de Britse regering, die minstens één kabinetsvergadering heeft gehouden over Zoom.

STATUS: Blijkbaar opgelost. In een blogpost van 3 april reageerde Zoom-CEO Eric S. Yuan op het Citizen Lab-rapport door te zeggen dat “het is mogelijk dat bepaalde vergaderingen verbinding mochten maken met systemen in China, waar ze geen verbinding hadden mogen maken. Sindsdien hebben we dat gedaan. heeft dit gecorrigeerd. “

Beveiligingsfout met wachtkamers voor Zoom-vergaderingen

Zoom adviseert gastheren van vergaderingen om “wachtkamers” in te richten om “Zoom-bombardementen” te vermijden. Een wachtkamer houdt deelnemers in feite in de wacht totdat een gastheer ze allemaal tegelijk of een voor een binnenlaat.

Het Citizen Lab zei een ernstig beveiligingsprobleem met Zoom-wachtkamers te hebben gevonden en adviseerde gastheren en deelnemers om deze voorlopig niet te gebruiken. Het Citizen Lab maakt de details nog niet bekend, maar heeft Zoom over de fout geïnformeerd.

“We raden Zoom-gebruikers die vertrouwelijkheid wensen aan om Zoom Waiting Rooms niet te gebruiken”, aldus het Citizen Lab in zijn rapport. “In plaats daarvan moedigen we gebruikers aan om de wachtwoordfunctie van Zoom te gebruiken.”

STATUS: opgelost. In een vervolg op hun eerste melding. de Citizen Lab-onderzoekers onthulden dat ongenode bezoekers van een vergadering toch de coderingssleutel van de vergadering uit de wachtkamer konden krijgen.

“Op 7 april meldde Zoom ons dat ze een server-side oplossing voor het probleem hadden geïmplementeerd”, aldus de onderzoekers.

Windows-wachtwoord stelen

Zoomvergaderingen hebben side-chats waarin deelnemers tekstberichten kunnen verzenden en weblinks kunnen posten.

Maar volgens Twitter-gebruiker @ _g0dmode en het Anglo-Amerikaanse cybersecurity-trainingsbedrijf Hacker House maakte Zoom tot eind maart geen onderscheid tussen reguliere webadressen en een ander soort externe netwerklink, een Universal Naming Convention (UNC) -pad. Dat maakte Zoom-chats kwetsbaar voor aanvallen.

Als een kwaadwillende Zoom-bommenwerper een UNC-pad naar een externe server die hij bestuurde, naar een Zoom-vergaderingschat liet glijden, zou een onwetende deelnemer erop kunnen klikken.

De Windows-computer van de deelnemer zou dan proberen contact te maken met de externe server van de hacker die in het pad is opgegeven en automatisch proberen in te loggen met de Windows-gebruikersnaam en het wachtwoord van de gebruiker.

De hacker kan het wachtwoord “hash” achterhalen en decoderen, waardoor hij toegang krijgt tot het Windows-account van de Zoom-gebruiker.

STATUS: In de blogpost van Yuan staat dat Zoom dit probleem nu heeft verholpen.

Windows malware-injectie

Mohamed A. Baset van beveiligingsbedrijf Seekurity zei op Twitter dat dezelfde bestandspadfout een hacker ook een UNC-pad naar een extern uitvoerbaar bestand in een Zoom-chatroom zou laten invoegen.

Als een Zoom-gebruiker met Windows erop klikte, een video die door Baset was gepost, zou de computer van de gebruiker proberen de software te laden en uit te voeren. Het slachtoffer wordt gevraagd om toestemming te geven voor het uitvoeren van de software, waardoor sommige hackpogingen worden gestopt, maar niet alle.

STATUS: Als het UNC-bestandspadprobleem is opgelost, zou dit ook moeten zijn.

iOS-profiel delen

Tot eind maart stuurde Zoom iOS-gebruikersprofielen naar Facebook als onderdeel van de functie “inloggen met Facebook” in de iPhone- en iPad Zoom-apps. Nadat Vice News de praktijk had onthuld, zei Zoom dat het niet op de hoogte was van het delen van profielen en heeft hij de iOS-apps bijgewerkt om dit op te lossen.

STATUS: opgelost.

Malware-achtig gedrag op Macs

We hebben afgelopen zomer vernomen dat Zoom hacker-achtige methoden gebruikte om de normale macOS-beveiligingsmaatregelen te omzeilen. We dachten dat dat probleem toen was opgelost, samen met de beveiligingsfout die het veroorzaakte.

Maar een reeks tweets op 30 maart van beveiligingsonderzoeker Felix Seele, die merkte dat Zoom zichzelf op zijn Mac installeerde zonder de gebruikelijke gebruikersautorisaties, onthulde dat er nog steeds een probleem was.

Heb je je ooit afgevraagd hoe het @zoom_us macOS-installatieprogramma het doet zonder dat je ooit op installeren hebt geklikt? Blijkt dat ze (ab) pre-installatiescripts gebruiken, de app handmatig uitpakken met behulp van een gebundelde 7zip en deze installeren in / Applications als de huidige gebruiker in de admin-groep zit (geen root nodig).

“Ze (ab) gebruiken pre-installatiescripts, pakken de app handmatig uit met behulp van een gebundelde 7zip en installeren deze in / Applications als de huidige gebruiker in de admin-groep zit (geen root nodig),” schreef Seele.

“De applicatie wordt geïnstalleerd zonder dat de gebruiker zijn definitieve toestemming geeft en er wordt een zeer misleidende prompt gebruikt om rootrechten te verkrijgen. Dezelfde trucs die worden gebruikt door macOS-malware.” (Seele heeft hier een meer gebruikersvriendelijke blogpost uitgewerkt.)

Zoom-oprichter en CEO Eric S. Yuan tweette een vriendelijke reactie.

“Deelnemen aan een vergadering vanaf een Mac is niet eenvoudig, daarom wordt deze methode door Zoom en anderen gebruikt”, schreef Yuan. “Uw punt is goed begrepen en we zullen blijven verbeteren.”

UPDATE: In een nieuwe tweet van 2 april zei Seele dat Zoom een ​​nieuwe versie van de Zoom-client voor macOS had uitgebracht die “de twijfelachtige ‘pre-installatie’-techniek en de nep-wachtwoordprompt volledig verwijdert.’

“Ik moet zeggen dat ik onder de indruk ben. Dat was een snelle en uitgebreide reactie. Goed gedaan, @zoom_us!” Voegde Seele eraan toe.

Zoom heeft zojuist een update uitgebracht voor het macOS-installatieprogramma die de twijfelachtige “pre-installatie” -techniek en de valse wachtwoordprompt volledig verwijdert. Ik moet zeggen dat ik onder de indruk ben. Dat was een snelle en uitgebreide reactie. Goed gedaan, @zoom_us!

STATUS: opgelost.

Een achterdeur voor Mac-malware

Andere mensen zouden de onbetrouwbare Mac-installatiemethoden van Zoom kunnen gebruiken, zei de bekende Mac-hacker Patrick Wardle in een blogpost op 30 maart.

Wardle demonstreerde hoe een lokale aanvaller – zoals een kwaadwillende mens of reeds geïnstalleerde malware – de voorheen magische krachten van ongeoorloofde installatie van Zoom kon gebruiken om “privileges te verhogen” en volledige controle over de machine te krijgen zonder het beheerderswachtwoord te kennen.

Wardle toonde ook aan dat een kwaadaardig script dat in de Zoom Mac-client is geïnstalleerd, elk stukje malware de webcam- en microfoonrechten van Zoom kan geven, die de gebruiker niet om autorisatie vragen en die elke Mac waarop Zoom is geïnstalleerd, in een potentieel spionageapparaat kan veranderen.

“Dit geeft malware de mogelijkheid om alle Zoom-vergaderingen op te nemen, of Zoom simpelweg op de achtergrond te spawnen om op willekeurige momenten toegang te krijgen tot de microfoon en webcam”, schreef Wardle.

STATUS: In de blogpost van Yuan staat dat Zoom deze tekortkomingen heeft verholpen.

Andere problemen

Zoom belooft om gebreken op te lossen

In een blogpost op 1 april erkende Zoom-CEO en oprichter Eric S. Yuan de groeipijnen van Zoom en beloofde hij dat de reguliere ontwikkeling van het Zoom-platform zou worden uitgesteld terwijl het bedrijf eraan werkte om beveiligings- en privacyproblemen op te lossen.

“We erkennen dat we niet hebben voldaan aan de privacy- en beveiligingsverwachtingen van de gemeenschap (en onze eigen),” schreef Yuan en legde uit dat Zoom was ontwikkeld voor grote bedrijven met interne IT-medewerkers die de software zouden kunnen opzetten en uitvoeren. .

“We hebben nu een veel bredere groep gebruikers die ons product op talloze onverwachte manieren gebruiken, wat ons voor uitdagingen stelt die we niet hadden verwacht toen het platform werd ontworpen,” zei hij. “Deze nieuwe, voornamelijk consumentengebruikssituaties hebben ons geholpen onvoorziene problemen met ons platform aan het licht te brengen. Toegewijde journalisten en beveiligingsonderzoekers hebben ook geholpen om reeds bestaande problemen te identificeren.”

Om met deze problemen om te gaan, schreef Yuan, zou Zoom “een functiebevriezing uitvoeren, effectief onmiddellijk, en al onze technische middelen verleggen om zich te concentreren op onze grootste vertrouwens-, veiligheids- en privacyproblemen.”

Zoom zou onder andere ook “een uitgebreide beoordeling uitvoeren met externe experts en representatieve gebruikers om de veiligheid van al onze nieuwe gebruiksscenario’s voor consumenten te begrijpen en te waarborgen”.

Zoom vereist nu standaard wachtwoorden voor de meeste Zoom-vergaderingen, hoewel gastheren van vergaderingen die functie kunnen uitschakelen. Wachtwoorden zijn de gemakkelijkste manier om Zoom-bombardementen te stoppen.

En op 8 april zei Alex Stamos, voormalig Chief Security Officer van Facebook en Yahoo, dat hij met Zoom zou samenwerken om de beveiliging en privacy te verbeteren. Stamos is nu adjunct-professor aan Stanford en staat hoog aangeschreven binnen de informatiebeveiligingsgemeenschap.

Valse end-to-end-versleuteling

Zoom beweert dat zijn vergaderingen “end-to-end encryptie” gebruiken als elke deelnemer inbelt vanaf een computer of een mobiele Zoom-app in plaats van via de telefoon. Maar onder druk van The Intercept gaf een vertegenwoordiger van Zoom toe dat Zoom’s definities van “end-to-end” en “endpoint” niet hetzelfde zijn als die van alle anderen.

“Wanneer we de uitdrukking ‘End to End’ gebruiken”, zei een woordvoerder van Zoom tegen The Intercept, “verwijst dat naar de verbinding die wordt versleuteld van Zoom-eindpunt naar Zoom-eindpunt.”

Klinkt goed, maar de woordvoerder verduidelijkte dat hij een Zoom-server als een eindpunt telde.

Elk ander bedrijf beschouwt een endpoint als een gebruikersapparaat – een desktop, laptop, smartphone of tablet – maar niet als een server. En elk ander bedrijf gebruikt “end-to-end-encryptie” om te betekenen dat servers die berichten van het ene eindpunt naar het andere sturen, de berichten niet kunnen ontsleutelen.

Wanneer u een Apple-bericht van uw iPhone naar een andere iPhone-gebruiker verzendt, helpen de servers van Apple het bericht van de ene plaats naar de andere te komen, maar ze kunnen de inhoud niet lezen.

Niet zo met Zoom. Het kan zien wat er gaande is tijdens zijn vergaderingen, en soms moet het om er zeker van te zijn dat alles naar behoren werkt. Geloof gewoon niet de implicatie dat het niet kan.

UPDATE: In een blogpost van 1 april schreef Oded Gal, Chief Product Officer van Zoom, dat “we willen beginnen met onze excuses aan te bieden voor de verwarring die we hebben veroorzaakt door ten onrechte te suggereren dat Zoom-vergaderingen in staat waren end-to-end-encryptie te gebruiken.”

“We erkennen dat er een discrepantie bestaat tussen de algemeen aanvaarde definitie van end-to-end-codering en hoe we deze gebruikten”, schreef hij.

Gal verzekerde gebruikers dat alle gegevens die worden verzonden en ontvangen door Zoom-clienttoepassingen (maar niet gewone telefoonlijnen, zakelijke conferentiesystemen of, vermoedelijk, browserinterfaces) inderdaad gecodeerd zijn en dat Zoom-servers of -medewerkers ‘deze op geen enkel moment ontsleutelen voordat ze de ontvangende klanten. “

Gal voegde er echter aan toe: “Zoom onderhoudt momenteel het sleutelbeheersysteem voor deze systemen in de cloud” maar heeft “robuuste en gevalideerde interne controles geïmplementeerd om ongeautoriseerde toegang tot inhoud die gebruikers tijdens vergaderingen delen te voorkomen.”

De implicatie is dat Zoom de transmissies van gebruikers niet naar keuze decodeert. Maar omdat het de coderingssleutels bevat, zou Zoom dat kunnen als het moest, bijvoorbeeld als het een bevel of een Amerikaanse National Security Letter zou krijgen (in wezen een geheim bevel).

Voor degenen die zich zorgen maakten over het rondsnuffelen van de overheid, schreef Gal dat “Zoom nooit een mechanisme heeft gebouwd om live vergaderingen te decoderen voor legale onderscheppingsdoeleinden, noch hebben we middelen om onze werknemers of anderen in vergaderingen in te voegen zonder te worden weerspiegeld in de deelnemerslijst.”

Hij voegde eraan toe dat bedrijven en andere ondernemingen binnenkort hun eigen coderingsproces zouden kunnen afhandelen.

“Later dit jaar komt er een oplossing beschikbaar waarmee organisaties de Zoom-cloudinfrastructuur kunnen gebruiken, maar het sleutelbeheersysteem binnen hun omgeving kunnen hosten.”

STATUS: Dit is een kwestie van misleidende reclame in plaats van een echte softwarefout. We hopen dat Zoom stopt met het onjuist gebruiken van de term “end-to-end-encryptie”, maar houd er rekening mee dat u het echte werk niet krijgt met Zoom totdat het de technologie die het koopt met Keybase volledig implementeert.

Opnames van Zoomvergaderingen zijn online te vinden

Privacyonderzoeker Patrick Jackson merkte op dat opnamen van Zoom-vergaderingen die op de computer van de host zijn opgeslagen, over het algemeen een bepaald type bestandsnaam krijgen.

Dus zocht hij onbeschermde cloudservers om te zien of iemand Zoom-opnames had geüpload en vond volgens The Washington Post meer dan 15.000 onbeschermde voorbeelden. Jackson vond ook enkele opgenomen Zoom-bijeenkomsten op YouTube en Vimeo.

Dit is niet echt de schuld van Zoom. Het is aan de host om te beslissen of hij een vergadering wil opnemen, en Zoom geeft betalende klanten de mogelijkheid om opnames op de eigen servers van Zoom op te slaan. Het is ook aan de host om te beslissen om de bestandsnaam van de opname te wijzigen.

Als u een Zoom-vergadering organiseert en besluit deze op te nemen, zorg er dan voor dat u de standaardbestandsnaam wijzigt nadat u klaar bent.

STATUS: Dit is niet echt het probleem van Zoom, om eerlijk te zijn.

Bron: tomsguide

Meer weten?

Neem contact op

Tech Updates: Microsoft 365, Azure, Cybersecurity & AI – Wekelijks in je Mailbox.