Flo's Weblog | Apple News and more... Alles über Apple und Gadgets

Sicherheitsforscher haben eine schwere Sicherheitslücke in der Zoom Videokonferenz-App auf dem Mac entdeckt, die von einem Angreifer potenziell dazu genutzt werden könnte, die Webcam eines MacBooks oder auch gar den kompletten Rechner zu übernehmen. In Medium-Post wird dabei demonstriert, wie ein solches Szenario durch den Aufruf einer simplen manipulierten Webseite ausgelöst werden kann. Ist die Zoom-App auf dem Mac installiert, kann die angesprochene Webseite dazu genutzt werden, einen Videoanruf über die App zu initiieren.

Der Hauptgrund für dieses Verhalten ist offenbar vor allem darauf zurückzuführen, dass die Zoom-App im Hintergrund einen Webserver auf dem Mac installiert, der Anfragen entgegennimmt, die ein regulärer Browser nicht beantworten würden, wie The Verge berichtet. In einer früheren (inzwischen gepatchten) Version der Zoom-App konnte über eine manipulierte Webseite sogar ein DOS (Denial of Service) Angriff auf einen Mac ausgeführt werden.

Jonathan Leitschuh, der Entdecker der Lücke hatte Zoom Ende März über das entdeckte Problem in Kenntnis gesetzt und den Entwicklern die übliche Zeit von 90 Tagen gegeben es zu beheben, ehe es öffentlich gemacht wird. Dieser Aufforderung sind die Entwickler von Zoom bis heute nicht nachgekommen, was jeden Mac auf dem die App installiert ist potenziell angreifbar macht. Nutzer können sich aktuell selbst gegen das Starten der Kamera ihres Macs wehren, indem sie der Zoom-App die Berechtigung entziehen, die Kamera zu starten, sobald man einem Meeting beitritt. In dem oben bereits angesprochenen Medium-Post finden sich zudem verschiedene Terminal-Befehle, mit denen man den Webserver im Hintergrund von seinem Mac entfernen kann.

Gegenüber ZDNet haben sich die Zoom-Entwickler inzwischen mit der halbgaren Entschuldigung zu Wort gemeldet, dass man den Webserver im Hintergrund als "Workaround" benötige, um Änderungen zu behandeln, die Apple (nicht ohne Grund) mit Safari 12 eingeführt hatte. Durch den Workaround sei ein besses Nutzererlebnis gegeben. An dieser Stelle ist dann auch mal wieder ein amtlicher Facepalm angebracht. Leider ist es heutzutage immer öfter der Fall, dass Bequemlichkeit und Komfort die IT-Sicherheit schlagen.