Zoom, Herausgeber der gleichnamigen Videokonferenz-App, hat eingeräumt, dass seine selbst entwickelte Verschlüsselungstechnik nicht den Anforderungen einer heutigen Kommunikationsanwendung genügt. Das Unternehmen reagiert damit auf eine Untersuchung des zur University of Toronto gehörenden Citizen Lab, die die App als ungeeignet für den Einsatz in Behörden und Unternehmen einstuft.
„Die Ver- und Entschlüsselung von Zoom verwendet AES im ECB-Modus, was allgemein als schlechte Idee angesehen wird, weil dieser Verschlüsselungsmodus die Eingabemuster bewahrt. Industrielle Standardprotokolle zur Verschlüsselung von Streaming-Medien (wie der SRTP-Standard) empfehlen die Verwendung von AES im Segmented Integer Counter Mode oder f8-Modus, die nicht die gleiche Schwäche wie der ECB-Modus haben“, teilte Citizen Lab mit.
Zudem entdeckten die Forscher nach eigenen Angaben schwerwiegende Sicherheitslücken in der Wartezimmer-Funktion der App, über die Zoom inzwischen informiert wurde. Nutzern rät Citizen Lab, die Funktion derzeit zu meiden und Passwörter für Meetings zu vergeben.
Darüber hinaus kritisierte Citizen Lab, dass Nutzer, die an Videokonferenzen mit Personen aus China teilnehmen, Verschlüsselungsschlüssel von chinesischen Servern erhalten, auch wenn sie sich selbst nicht in China aufhalten. Zoom erklärte dazu, dass es sich um ein Versehen handele, da eigentlich sichergestellt sei, dass die Kommunikation von Nutzern außerhalb von China nicht über chinesische Server geleitet werde. Beim Ausbau der Kapazitäten für chinesische Nutzer im Februar seien zwei Server versehentlich auf einer Whitelist gelandet, die das Geofencing umgehe. Dieses Problem sei nun behoben.
Zuletzt hatte das US-Unternehmen angekündigt, über eine Zeitraum von 90 Tagen keine neuen Funktionen zu entwickeln und sich stattdessen auf die Fehlerbeseitigung zu konzentrieren. Die Zoom-App sei nicht mit Hinblick auf ein derartig schnelles Nutzerwachstum entwickelt worden. Die Zahl der täglichen Meetings habe sich von 10 Millionen im Dezember auf 200 Millionen im März erhöht.
Schon in der vergangenen Woche hatte Zoom eingeräumt, dass es entgegen den Angaben auf seiner Website keine Ende-zu-Ende-Verschlüsselung verwendet. Das Unternehmen ist also in der Lage, jegliche über seine Server laufende Kommunikation zu entschlüsseln.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…
Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…