De veelgebruikte videobelapplicatie Zoom ligt onder vuur vanwege diverse beveiligingsproblemen. Zo liet de app persoonlijke e-mailadressen van gebruikers naar anderen uitlekken en zou het Windows-wachtwoord van gebruikers te onderscheppen zijn.

 

Zoom

Zoom liet de e-mailadressen van 'zeker duizenden gebruikers' naar andere gebruikers uitlekken, schrijft Motherboard. Ook de bijbehorende profielfoto zou daarbij zitten. Zoom heeft een ingebouwde functie waarmee gebruikers met dezelfde domeinnaam elkaar gemakkelijk kunnen vinden. Die Company Directory-functie is vooral interessant voor bedrijven waarvan medewerkers de app gebruiken. Motherboard sprak met verschillende Zoom-gebruikers die met hun persoonlijke e-mailadres inlogden. Die werden in een lijst gezet met duizenden andere gebruikers, waarbij het leek alsof ze allemaal voor hetzelfde bedrijf werkten. De gebruikers konden op die manier elkaars accountinformatie zien. Dat gebeurde bij gebruikers die bij Nederlandse e-mailproviders waren aangesloten. Als die bijvoorbeeld een @xs4all.nl-, @dds.nl- of @quicknet.nl-e-mailadres hadden, konden ze alle andere gebruikers met zulke adressen zien. Xs4all zegt op Twitter dat het probleem bij Zoom ligt. Dat bedrijf heeft daar nog niet op gereageerd.

Het is niet het enige probleem waarvan Zoom last heeft. Er zit ook een bug in de app waarmee het mogelijk is het Windows-wachtwoord van een gebruiker te achterhalen door die gebruiker op een link te laten klikken. Een beveiligingsonderzoeker schrijft op Twitter dat Zoom automatisch klikbare links maakt van UNC-paths in Windows. Een aanvaller kan daardoor een link naar een geïnfecteerde server plaatsen. Daar wordt een verbinding naartoe gelegd via het smb-protocol in Windows. Het besturingssysteem stuurt daarbij de loginnaam en het wachtwoord naar de server. Volgens beveiligingsonderzoeker Matthew Hickey is de versleuteling bovendien snel te kraken. Op de melding van dat lek heeft het bedrijf evenmin gereageerd.

Het is niet de eerste keer dat de videobelapp onder vuur ligt. De populariteit van Zoom neemt sinds de coronacrisis flink toe, maar het bedrijf heeft in het verleden meer dan eens beveiligingsincidenten gehad waarop het pas laat reageerde. Vorig jaar bleek bijvoorbeeld dat de app op macOS een lokale server meeïnstalleerde. Die was bovendien slecht beveiligd, waardoor aanvallers met willekeurige gesprekken konden meekijken. Onlangs bleek ook dat de chatapp gebruikmaakte van de Facebook-sdk, en daardoor informatie naar Facebook doorstuurde.

Inmiddels blijkt ook de eind-tot-eindversleuteling die de app belooft, helemaal niet versleuteld te zijn. Het bedrijf schrijft over die versleuteling in een whitepaper (pdf) en in de app zelf. De versleuteling blijkt een simpele tls-encryptie te zijn die alleen geldt voor chatteksten en niet voor videogesprekken. "Als we het hebben over eind-tot-eindencryptie, bedoelen we dat de verbinding tussen twee Zoom-eindpunten versleuteld is", zegt een woordvoerder van het bedrijf tegen The Intercept. 'Zoom-eindpunten' zijn daarbij ook Zoom-servers en niet de apparaten van de gebruikers zelf.

Vanwege alle commotie rondom de app is de procureur-generaal van de staat New York een verkennend onderzoek begonnen tegen de privacy- en beveiligingsprotocollen van het bedrijf.

Reacties mogelijk gemaakt door CComment