"Software muss vor allem benutzerfreundlich sein" - das Mantra, nach dem viele Hersteller ihre Programme entwerfen. Ein börsennotiertes US-Unternehmen ist dabei offenbar über das Ziel hinausgeschossen. Bei dem Versuch, den Prozess für Nutzer der Videokonferenz-Software "Zoom" so einfach wie möglich zu gestalten, haben die Entwickler der Firma laut einem aktuellen Bericht mehrere schwerwiegende Sicherheitslücken produziert.
Wie der IT-Sicherheitsforscher Jonathan Leitschuh in einem Artikel auf Medium schreibt, war es für Angreifer leicht, Nutzer des Mac-Clients der Anwendung in einen Video-Anruf zu zwingen, ohne dass die das merkten. Alles, was die Spione dazu tun mussten: Nutzer der Software dazu bringen, auf einen Link zu klicken, der sie zu einem Videochat einlud. Und weil die Programmierer das Nutzererlebnis so störungsfrei wie möglich gestalten wollten, mussten die Nutzer die Kamerafreigabe für den Video-Anruf nicht bestätigen.
Zoom App: Mit einem Klick können Sie die schwerwiegendste Sicherheitslücke in der Zoom-Software selbst schließen.
(Foto: Screenshot Jonathan Leitschuh)Dieser Teil der Lücke wurde von Zoom mittlerweile beseitigt, das Programm fragt jetzt nach, ob die Kamera aktiviert werden soll. Automatisch zum Anruf hinzugefügt werden können Nutzer allerdings nach wie vor. Betroffen sind laut Berechnungen von Leitschuh mindestens vier Millionen Nutzer. Zoom selbst behauptet, dass über 750 000 Unternehmen der Bürosoftware vertrauen.
Es ist kein Bug, es ist ein Feature
Grund für dieses Verhalten der App ist offenbar, dass die Anwendung bei der Installation des Mac-Clients auch einen lokalen Webserver installiert. Mit dem kann jeder interagieren, sobald Nutzer die Einladung zu einem Videochat annehmen. Der Webserver offenbart laut Leitschuh noch weitere Angriffsflächen: Auch wenn Nutzer die Web-App deinstallieren, bleibt der Server bestehen und installiert bei einer erneuten Video-Chat-Anfrage einfach automatisch die Software erneut.
Die Domain, über die die Updates und Neuinstallationen der App liefen, war zudem offenbar kurz davor, abzulaufen. Ein Angreifer hätte also die Domain kaufen und missbrauchen können, etwa indem er eine mit Schadcode angereicherte Version darüber verteilt. Erst nach einem Hinweis von Leitschuh wurde die Domain bis 2024 verlängert - fünf Tage vor Ablauf der Domain-Registrierung.
Auch die Reaktion der Firma auf die Hinweise war demnach wenig vorbildlich. Leitschuh schreibt, dass er die Macher der App vor mehr als 90 Tagen auf die Lücke hingewiesen habe. Erst nach rund zehn Tagen bestätigten sie die Existenz der Lücke, und auch danach sei lange Zeit wenig passiert. Gegenüber der Webseite ZDNet verteidigte das Unternehmen die Nutzung des Webservers mit Hinweis auf das Nutzererlebnis. Der lokale Server sei eine "legitime Lösung um ein schlechtes Nutzererlebnis zu vermeiden." Eine alternative Lösung würde mit dem Safari-Browser von Apple nicht funktionieren. Der lokale Web-Server verschaffe Nutzern eine "störungsfreie Ein-Klick-Lösung", um Meetings beizutreten. Einige hätten aber gerne doch noch einen Klick mehr machen müssen, bevor ihr Bild live an Fremde übertragen wird.
Update, 11. Juli 2019, 9.32 Uhr: Apple hat einem Bericht von Techcrunch zufolge ein Update ausgespielt, um das Problem zu beheben. Es löscht den Server, der "unsichtbar" auch nach der Deinstallation von Zoom auf dem Computer blieb.
