Dank Zoom kann dein Computer zum Spionage-Tool werden

Ein ehemaliger NSA-Mitarbeiter deckt zwei massive Sicherheitslücken in Zoom auf. Ein deutscher Hacker erkennt weitere mögliche Einfallstore für Hacker. Nicht nur die Vertraulichkeit von Video-Konferenzen ist damit gefährdet, sondern die Sicherheit von jedem einzelnen Nutzer.

Das erste, was Thorsten Schröder misstrauisch gemacht hat, waren die FAQs von Zoom zum Datenschutz. „Verkauft Zoom meine Daten?“ stand dort, und die Antwort begann mit „Es kommt darauf an, wie du verkaufen definierst.“ Als er weiter las wurde ihm klar: „Zoom gibt natürlich Daten weiter.“ Das Zweite war, dass Zoom nicht funktionierte mit den Sicherheitstools, die Schröder auf seinem Computer installiert hatte. Das dritte war ein Blick in den Code.

Freunde hatten Schröder zu einem Feierabend-Bier per Zoom eingeladen, so wie man es eben macht zu Corona-Zeiten. Doch als IT-Sicherheitsforscher hat Schröder schon zu viel gesehen, um einfach eine ihm unbekannte App zu nutzen, ohne sie zumindest ansatzweise zu überprüfen. „Wenn diese App auch noch Software auf meinem Computer installieren will, schaue ich genau hin.“ Nur leider hat dieses genau hinschauen Schröder nicht gerade beruhigt. Zoom hat mutmaßlich schwerwiegende Sicherheitslücken, und respektiert obendrein die Privatsphäre nicht sonderlich.

Dieses „mutmaßlich“ steht hier, weil Schröder üblicherweise einen Angriff erst selbst bis zum Ende durchführt – also Sicherheitslücken ausnutzt, als wäre er ein Hacker mit bösen Absichten – bevor er an die Öffentlichkeit geht. Doch das kostet Zeit, und weil diese potentiellen Sicherheitslücken gravierend sind, haben wir uns darauf verständigt, dass ich nach unserem Interview den Stand der Dinge hier aufschreibe.

Schließlich nutzt gerade die halbe Welt Zoom – darunter viele, die sicherheitsrelevante Dinge zu besprechen haben. Der britische Premierminister Boris Johnson beispielsweise hat kürzlich unvorsichtigerweise einen Screenshot einer Zoom Kabinettssitzung per Twitter verschickt, auf dem auch die Meeting-ID zu sehen war. Ein grober Fehler, denn dadurch können sich Unbefugte Zugang zum Meeting verschaffen (und wir wollen hier mal nicht spekulieren, wen das alles interessieren könnte). Doch so genanntes „Zoom-Bombing“, bei dem Unbefugte Video-Konferenzen stören oder belauschen, sind nur die Spitze des Eisbergs der aktuellen Probleme rund um das Tool.

„Politiker und Journalisten sollten Zoom meiner Meinung nach nicht nutzen“, sagt Thorsten Schröder nach seinem ersten kurzen Tauchgang in die Untiefen der Software. Und damit ist er nicht allein. „Obwohl Zoom unglaublich beliebt ist, hat es eine ziemlich düstere Erfolgsgeschichte in Sachen Sicherheit und Datenschutz“, bloggte am Dienstag der ehemalige NSA-Mitarbeiter (National Security Agency der USA) Patrick Wardle – um dann zwei neue bedenkliche Sicherheitslücken in Zoom bekannt zu geben, die er gefunden hatte und die Zoom nach eigenen Angaben nun geschlossen hat.

Es handelte sich um so genannte „Zero-Day Vulnerabilities“, was bedeutet, dass es für diese Fehler in einem Computerprogramm noch keinen so genannten „Patch“ gibt, noch keine „Reparatur“, kein Update, was die Lücke schließt. Das heißt, jeder, der Zoom – in diesem Fall mit der Mac-App – nutzte, war de facto angreifbar. Und zwar nicht nur in der Form, dass Angreifer unbemerkt Zoom-Meetings belauschen und aufzeichnen können, sie können sich zudem über weitere Lücken Zugang zum Computer selbst verschaffen, Windows-Passwörter auslesen und sich Administratoren-Rechte für das Computersystem beschaffen. Unter anderem könnten solche Angreifer jederzeit die Kamera und das Mikrofon anschalten und den Betroffenen belauschen.

Doch auch der offizielle Weg der Daten könnte sicherer sein. So wurde kürzlich bekannt, dass die Videochats nicht wie von Zoom behauptet Ende-zu-Ende-verschlüsselt sind. Das würde bedeuten, dass die Daten von einem zum anderen Teilnehmer der Video-Konferenz verschlüsselt sind – dass also Zoom selbst beispielsweise nicht auf die Daten zugreifen kann. Das ist falsch laut the Intercept: im Falle von Zoom sind sie lediglich transportverschlüsselt, was bedeutet, dass zufällige Mithörer auf dem Weg zwischen den Konferenzteilnehmern und Zoom nur verschlüsseltes Material zu sehen bekommen, Zoom hingegen aber Klardaten auf seinen Servern liegen hat. Sollte das FBI beispielsweise Zugang verlangen, muss Zoom diese Daten nach amerikanischem Recht aushändigen. Wären sie verschlüsselt, wäre das nicht möglich (bzw. dann hätte das FBI nichts davon). ). In einem aktuellen Blog-Beitrag entschuldigt sich Zoom für die missverständliche Verwendung des Begriffes Ende-zu-Ende-Verschlüsselung: „Wir erkennen an, dass es eine Diskrepanz zwischen der allgemein akzeptierten Definition von Ende-zu-Ende-Verschlüsselung gibt und der Art und Weise, wie wir sie verwenden.“

Zudem war Zoom kürzlich in die Kritik geraten, weil es Daten an Facebook weitergab, ohne das den Benutzern zu kommunizieren, wie das Magazin Motherboard recherchiert hatte. Daraufhin hat ein Nutzer Zoom in Kalifornien verklagt, und die New Yorker Generalstaatsanwältin Letitia James offiziell nachgefragt, ob Zoom seine Datenschutz- und Sicherheitspraktiken überarbeitet habe. Daraufhin löschte Zoom dieses Feature aus dem Code.

Diese Daten werden also nicht mehr an Facebook weitergegeben – doch was bedenklicher stimmen sollte, ist die Reaktion von Zoom. Man sei kürzlich darauf aufmerksam gemacht worden, dass die Facebook Programmierumgebung unnötige Daten sammle, schreibt Zoom in seinem Blog: „Wir entschuldigen uns aufrichtig für dieses Versehen.“ Das Unternehmen wurde also erst durch die Recherchen von Motherboard überhaupt darauf aufmerksam – und das ist wohl eher eine schlechte Nachricht. Schließlich heißt das, dass Zoom selbst nicht so recht weiß, was sein Programm alles macht. Es handelt sich also weniger um einen beabsichtigten Datenhandel, sondern um schlampigen Umgang mit dem eigenen und auch fremdem Code – die Privatsphäre wird so zum Kollateralschaden.

Und diese Schlampigkeit zieht sich möglicherweise durch den gesamten Code der Anwendung – und bildet die Basis für massive Sicherheitslücken. Darauf deuten zumindest die Erkenntnisse von Thorsten Schröder hin, der zuvor gemeinsam mit anderen Sicherheitsforschern des Chaos Computer Club CCC unter anderem den bayerischen Staatstrojaner aufgedeckte sowie Schwächen in der Wahlsoftware zur Bundestagswahl 2017 entdeckt hatte. Seit 20 Jahren arbeitet der Gründer einer Beratungsfirma im Bereich IT-Sicherheit. „Ich habe inzwischen ein Bauchgefühl, wo ich hinschauen muss, wenn es um Vertraulichkeit geht.“

Dieses Bauchgefühl führte ihn unter anderem zu einer frei verfügbaren Software-Bibliothek, die Zoom verwendet, um Verbindungen zu verschlüsseln. An sich sei das eine gute Sache – nur habe Zoom dieses Toolkit namens OpenSSL seit Jahren nicht mehr aktualisiert. „Zoom liefert seine aktuelle Software mit einer völlig veralteten Version von SSL aus, die bekannte Sicherheitslücken enthält.“ Damit übertrage sich die Verwundbarkeit dieser alten SSL-Version, die nicht einmal mehr aktualisiert wird, um Sicherheitslücken zu schließen, auf Zoom – und damit auf den Computer jedes einzelnen Nutzers. Und das in Zeiten, in denen Zoom prädestiniert ist für einen Angriff. „Das wird noch vielen das Genick brechen.“

Eine weitere mögliche Schwachstelle hat Schröder in der Verwendung einer Bibliothek namens SQLite gefunden. „Bei der Verwendung einer SQL-Datenbank kann man vieles falsch machen – und Zoom verwendet Techniken, die prädestiniert dafür sind, ausnutzbare Sicherheitslücken einzuführen.“ Weil Unternehmen bei der Nutzung von SQL-Datenbanken häufig Fehler machen, sind sie eines der ersten Dinge, die Hacker unter die Lupe nehmen. Sie können auf diese Weise beispielsweise Nutzerdaten aller Art auslesen – wie schnell das geht, habe ich in diesem Artikel beschrieben, in dem ich Hacker dabei begleitet habe, wie sie unter anderem dank einer fehlerhaften SQL-Datenbank-Verwendung in wenigen Minuten Tausende Namen, Adressen und Passwörter erbeutet haben.

„Man kann über SQL aber auch schadhaften Code ausführen“, erklärt Schröder, Schadcode also wie Trojaner, Schnüffel- oder Ransomware. Angreifer können also möglicherweise die installierte Zoom-App ausnutzen, um Daten auf dem Computer des Nutzers zu löschen, zu klauen oder zu verschlüsseln, um dann hohe Geldforderungen zu stellen, damit der Nutzer wieder darauf zugreifen kann. Diese möglichen Schwachstellen erwähnt Zoom in seinem aktuellen Blogbeitrag nicht – sie sind also nicht geschlossen.

Das alles ist mutmaßlich keine Absicht von Zoom, es ist eher Schlampigkeit und ein deutliches Zeichen dafür, dass die Sicherheit dem schnellen Markterfolg geopfert wurde. Denn wer der erste auf dem Markt ist, kann sich die großen Marktanteile sichern und ist gut aufgestellt – wie das Beispiel Zoom zeigt. Doch das führt dazu, dass Software im Schnitt immer unsicherer wird. Dass Zoom derzeit hinterher hechelt und stets nur jene Probleme beseitigt, die Nutzer oder Sicherheitsforscher aufdecken, spricht nicht für den Konzern. Denn mutmaßlich schlummern unter der Oberfläche weitere Sicherheitsprobleme, die einer schlampigen Sicherheitsarchitektur geschuldet sind. So ist es eine Frage der Zeit, wann die „falschen“ Entdecker von Schwachstellen schneller sind als seriöse Sicherheitsforscher – Kriminelle, staatliche Hacker etc – und das kann gefährlich werden.

Experten beklagten, dass Software neuerdings kaum mehr getestet wird, bevor sie auf den Markt kommt. Sicherheit ist aufwendig und teuer, das haben mir Forscher immer wieder gesagt, beispielsweise der Saarbrücker Sicherheitsforscher Christian Rossow in dieser Recherche über Angriffe auf kritische Infrastrukturen:

„Es konkurrieren zwei Motive: Software sicher zu machen und sie möglichst schnell und günstig auf den Markt zu bringen.“ Das beobachtet Schröder auch: „Es gehört zu den Unsitten der vergangenen zehn Jahre, dass Startup-Unternehmen ihre Tools unfertig veröffentlichen und Kunden zu Testern machen.“

Schröder betont, dass er – im Gegensatz zum Ex-NSA-Hacker Wardle – diese potentiellen Sicherheitslücken nicht bis zum Ende erforscht habe. Es ist theoretisch möglich, dass Hacker auf andere Hindernisse stoßen, wenn sie das tun. Aber was er gesehen hat, verweist auf einen schlampigen Umgang mit Sicherheit – und das ist der Nährboden für verheerende Angriffe.

„Es geht schon lange nicht mehr um die Frage, ob ein Video-Chat abgehört wird“, betont Schröder. Damit ließe sich möglicherweise noch umgehen, indem sensible Dinge anderswo besprochen werden. „Es geht darum, dass Einzelne Ziel von Angriffen werden können, unabhängig vom Video Chat.“ Was ihn besonders ärgert: dieser Tage kommt man um Zoom nicht mehr herum. Unternehmen verwenden Zoom, Universitäten – und Schröders Freunde beim erwähnten Feierabend-Bier. „Und damit entscheidet dann die Gruppe für den Einzelnen“ – der dann möglicherweise die Folgen zu tragen hat, die Schadsoftware auf seinem Computer verursacht.

Thorsten Schröder verwendet für solche Fälle einen Computer, den er ansonsten nicht verwendet und auf dem keine wichtigen und persönlichen Daten gespeichert sind. „Ich installiere Zoom nicht auf meinem normalen Rechner, den ich auch für anderes nutze.“

Es gab in der Vergangenheit viele Beispiele, wie viel Zeit und Geld unter anderem staatliche Hacker investieren, um entweder andere Staaten auszuspionieren, mittels Hacker-Attacken lahm zu legen, Wahlen zu beeinflussen oder Ideen zu klauen. unter anderem hier habe ich darüber geschrieben:

Für diese Hacker – ebenso wie für „normale“ Kriminelle – sind goldene Zeiten angebrochen, wenn nun Politiker, Journalisten und Unternehmen im großen Stil Zoom nutzen. „Wenn Ihnen Sicherheit und Privatsphäre wichtig sind, sollten Sie möglicherweise aufhören, Zoom zu benutzen“, schließt Ex-NSA-Hacker Werle seinen Blog-Beitrag.