Zoom, Herausgeber der gleichnamigen Videokonferenz-App, hat eingeräumt, dass seine selbst entwickelte Verschlüsselungstechnik nicht den Anforderungen einer heutigen Kommunikationsanwendung genügt. Das Unternehmen reagiert damit auf eine Untersuchung des zur University of Toronto gehörenden Citizen Lab, die die App als ungeeignet für den Einsatz in Behörden und Unternehmen einstuft.
„Die Ver- und Entschlüsselung von Zoom verwendet AES im ECB-Modus, was allgemein als schlechte Idee angesehen wird, weil dieser Verschlüsselungsmodus die Eingabemuster bewahrt. Industrielle Standardprotokolle zur Verschlüsselung von Streaming-Medien (wie der SRTP-Standard) empfehlen die Verwendung von AES im Segmented Integer Counter Mode oder f8-Modus, die nicht die gleiche Schwäche wie der ECB-Modus haben“, teilte Citizen Lab mit.
Zudem entdeckten die Forscher nach eigenen Angaben schwerwiegende Sicherheitslücken in der Wartezimmer-Funktion der App, über die Zoom inzwischen informiert wurde. Nutzern rät Citizen Lab, die Funktion derzeit zu meiden und Passwörter für Meetings zu vergeben.
Darüber hinaus kritisierte Citizen Lab, dass Nutzer, die an Videokonferenzen mit Personen aus China teilnehmen, Verschlüsselungsschlüssel von chinesischen Servern erhalten, auch wenn sie sich selbst nicht in China aufhalten. Zoom erklärte dazu, dass es sich um ein Versehen handele, da eigentlich sichergestellt sei, dass die Kommunikation von Nutzern außerhalb von China nicht über chinesische Server geleitet werde. Beim Ausbau der Kapazitäten für chinesische Nutzer im Februar seien zwei Server versehentlich auf einer Whitelist gelandet, die das Geofencing umgehe. Dieses Problem sei nun behoben.
Zuletzt hatte das US-Unternehmen angekündigt, über eine Zeitraum von 90 Tagen keine neuen Funktionen zu entwickeln und sich stattdessen auf die Fehlerbeseitigung zu konzentrieren. Die Zoom-App sei nicht mit Hinblick auf ein derartig schnelles Nutzerwachstum entwickelt worden. Die Zahl der täglichen Meetings habe sich von 10 Millionen im Dezember auf 200 Millionen im März erhöht.
Schon in der vergangenen Woche hatte Zoom eingeräumt, dass es entgegen den Angaben auf seiner Website keine Ende-zu-Ende-Verschlüsselung verwendet. Das Unternehmen ist also in der Lage, jegliche über seine Server laufende Kommunikation zu entschlüsseln.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…