Skip to content

Zoomcherheit

Und dann ist mal wieder ein Sicherheitsproblem durch das Netz geschwappt. Konkret geht es um eine Videokonferenz-Software, die bei ihrer Installation auf Macs neben der eigentlichen Anwendung noch einen Webserver installiert, der auf dem immer gleichen lokalen Port auf Aufrufe wartet, um dann die eigentliche Software in Videokonferenzen einzubinden, weil das ja so viel bequemer ist, als wenn Anwender erst eine Datei in einer Anwendung öffnen müssten... Das alleine wäre noch kein Sicherheitsproblem, würde dem Anwender wenigstens freigestellt, ob bei Meetings Kamera und Mikrofon automagisch an oder aus sein sollten. Dummerweise wird das vom Ersteller des Meetings festgelegt, und so kann eine böswillige Webseite mit einem unauffälligen Link, iFrame, Bild oder sonstwas ein Meeting öffnen, mit dem Besucher der Webseite ausgeschnüffelt werden könnten. Das ist aber immer noch nicht alles, denn wenn man Mac-typisch die Client-Amnwendung durch Verschieben in den Papierkorb loswerden will, hat man den Server noch nicht erwischt, der wiederum die Anwendung aus dem Netz laden und installieren kann.

Öffentlich ist das Ganze nun geworden, nachdem die Herstellerfirma die übliche Zeit von 90 Tagen ohne sinnvolle Lösung verstreichen lassen hat, und bis vor einer Woche auch noch geleugnet hat, dass es da überhaupt ein Problem gäbe.

tweetbackcheck