Check Point Research hat eine Schwachstelle im Online-Meeting-Dienst Zoom gefunden, über die Unbefugte sich vergleichsweise einfach in Meetings anderer einklinken konnten. Angreifer konnten sich über die Sicherheitslücke unter anderem Zugang zu Audio-, Video- und Dokumenten-Dateien zu verschaffen, die während einer Sitzung ausgetauscht wurden.
Der Meeting-Service Zoom wird eigenen Angaben zufolge von 74.000 Unternehmen genutzt. Im Durchschnitt werden von deren Mitarbeitern pro Jahr 80 Milliarden Meetings geplant, durchgeführt und Sitzungsprotokolle erstellt. Gartner stufte den Dienst im vergangenen Jahr in seinem Magic Quadrant für Meeting Solutions zusammen mit Cisco, Microsoft und LogMeIn im "Leader"-Quadranten ein. Im Gegensatz zu den anderen Anbietern vertreibt Zoom in Deutschland sein Angebot aber nicht über eine größere Reseller-Basis, sondern lediglich über eine Handvoll an Partnern, vor allem aus dem Audio-Video-Bereich.
Lesetipp: LogMeIn startet im Channel durch
Zugriff auf ein Zoom-Meeting erhalten Teilnehmer über eine Meeting-ID. Die wird als Link nach dem Muster https://zoom.us/j/93XXX9XXX5 übermittelt. Die Sicherheitsforscher von Check Point haben herausgefunden, dass sich die 9-, 10- oder 11-stelligen Nummern von Angreifern leicht selbst generieren und automatisiert auf ihre Gültigkeit überprüfen lassen. Sofern sie gültig sind, erhalten auch Unbefugte Zugang zum entsprechenden Zoom-Meeting, sofern dessen Organisator dafür kein Passwort vergeben hat.
Check Point Research hat Zoom über die Schwachstelle informiert und der Anbieter hat die Sicherheitsmängel inzwischen durch einige Korrekturen und neuen Funktionen behoben. Allerdings bleibt festzuhalten, dass es sich um gravierende Fehler in der Implementierung handelte, die kein gutes Licht auf die Professionalität des Dienstes werfen.
Mehr zum Thema: Daran scheitern Videokonferenzen und Web-Meetings
So wurden nun erst nach der Untersuchung durch Check Point Passwörter zwingend für alle Besprechungen verlangt. Um die Passwortvergabe zu vereinfachen, können Benutzer ein Passwort inzwischen zu geplanten Meetings hinzufügen und erhalten anschließend per E-Mail Anweisungen dazu und in Unternehmen kann der Kontoverwalter Passwort-Einstellungen nun auf Konto- und Gruppenebene durchsetzen.
Auch interessant: Jabra steigt mit Panacast bei Videokonferenzen ein
Die ebenfalls als Anfängerfehler einzustufende Möglichkeit, extern und automatisiert zu überprüfen, ob eine Besprechungs-ID gültig ist, wurde ebenfalls abgeschafft. Indem nun bei jeder Anfrage tatsächlich die Seite geladen und versucht wird, der Besprechung beizutreten, soll es Angreifer nicht mehr so schnell möglich sein, gültige Besprechung-IDs zu ermitteln. Außerdem führen wiederholte Scans nach Besprechungs-IDs nun dazu, dass das Gerät, von dem sie ausgehen, eine Zeitlang blockiert wird.