Online-Konferenzlösungen: Wie sicher sind Jitsi, Microsoft Teams, Open Rainbow und Zoom?

Auszüge aus einem Fachartikel von IT Security Consultant Moritz Abrell

Millionen Menschen nutzen täglich verschiedene Konferenzlösungen. Es werden Vorlesungen, Arbeitsmeetings, Workshops oder auch private Audio/Video-Chats durchgeführt. Die rasante Ausbreitung von COVID 19 erhöhte diese Nutzung von Konferenzsoftware nochmals enorm und zwang viele Unternehmen zu handeln. Mitarbeiter wurden, wenn möglich, ins Homeoffice geschickt und die Kommunikation wurde nahezu vollständig digitalisiert. Der Zwang, schnell zu agieren, stellte viele Unternehmen vor neue technologische Herausforderungen. Neben Fernzugriffen auf Firmenressourcen ist vor allem die fortan digitale Kommunikation ein sehr komplexes Themengebiet und die Entscheidung für eine entsprechende Lösung fällt schwer. Auf dem scheinbar unendlichen Markt an Softwarelösungen und -Funktionen ist es nicht leicht, den Überblick zu behalten. Und nicht zuletzt sollte neben Audio/Video- und Screencastfunktionalitäten auch der Sicherheits- und Datenschutzaspekt Beachtung finden. Die Hersteller verschiedener Konferenzlösungen werben dabei bevorzugt mit Aussagen wie „Ende-zu-Ende-verschlüsselt“ und „100% verschlüsselt“. Solche Versprechen werfen Fragen auf: Sind die Daten wirklich vor Einblicken Dritter geschützt? Inwieweit ist den Marketingaussagen zu trauen? Welche Schutzmaßnahmen existieren?

Am Leitfaden dieser Fragen analysierte SySS IT Security Consultant Moritz Abrell im Kontext eines Forschungsprojekts vier kommerzielle bzw. freie Konferenzlösungen und deren Implementierungen zur Audio- und Videoübertragung. In seinem wissenschaftlichen Paper präsentiert er eine Einführung in die Technologien, eine Untersuchung zur Verschlüsselungsmethodik bei Online-Konferenzen sowie einen Vergleich der unterschiedlichen Lösungen Jitsi, Microsoft Teams, Open Rainbow und Zoom.

Hier im Blog geben wir eine Übersicht über das Projekt und die Ergebnisse.

Der Ausgangspunkt der Untersuchung

Unter einer Online- oder auch Webkonferenz versteht man eine Zusammenkunft von Teilnehmern in einem virtuellen Konferenzraum, der meist von einem Moderator organisiert ist. Audio- und Videoübertragung sowie Desktop-Sharing sind die Hauptfunktionalitäten einer Online-Konferenz. Neben diesen Hauptfunktionalitäten gibt es je nach Produkt auch weitere Funktionen wie z. B. Chats, Filesharing, Umfrageoptionen etc. Um eine Online-Konferenz durchzuführen, wird ein Konferenzserver benötigt. Dieser kann selbst gehostet oder als Cloud-Service betrieben werden. Er stellt das technologische Back-End dar, übernimmt die Steuerung und bietet die Funktionen der Konferenzen an. Eröffnet der Moderator einen virtuellen Konferenzraum, so können sich die Teilnehmer mit ihren Clients zum Konferenzserver verbinden. Meist erfolgt dies über einen geteilten Weblink. Als Clients kommen überwiegend Mobile Apps, eigene PC-Software oder auch unterstützte Browser zum Einsatz. Um die Audio- und Videoübertragung zu gewährleisten, implementieren viele Lösungen den offenen Standard Web Real-Time Communication (WebRTC), der eine Echtzeitkommunikation und Medienübertragung mithilfe eines kompatiblen Browsers ermöglicht.

Eine Konferenz mit zwei Teilnehmern wird als Peer-to-Peer (P2P)-Verbindung bezeichnet. Bestenfalls agiert der Konferenzserver bei einer P2P-Konferenz als Signalisierungseinheit und die Medienübertragung findet direkt zwischen den beiden Endpunkten statt. Das heißt: Im Optimalfall kann man von einer tatsächlichen Ende-zu-Ende-Verschlüsselung für den Medienstream ausgehen.

Sobald eine Konferenz die Grenze von zwei Teilnehmern überschreitet, spricht man von einer Peer-to-Multipeer (P2MP)-Verbindung. Damit alle Teilnehmer untereinander kommunizieren können, werden verschiedene Verfahren der Medienübertragung mit unterschiedlichen Vor- und Nachteilen eingesetzt.

Die Parameter und der Fokus der Untersuchung

In seinem Forschungsprojekt hat Moritz Abrell die Konferenzsysteme Jitsi, Microsoft Teams, Open Rainbow und Zoom unter den folgenden Aspekten analysiert:

• Verschiedene Clients: Welche Ergebnisse liefert die Untersuchung der jeweiligen offiziell verfügbaren mobilen Applikationen, welche ergeben sich auf einem Android- bzw. einem iOS-Gerät?

• P2P Audio/Video-Verschlüsselung: Ist eine Peer-to-Peer Audio/Video (AV)-Verbindung Ende-zu-Ende- oder Hop-by-Hop-verschlüsselt?

• P2MP Audio/Video-Verschlüsselung: Wie sind Peer-to-Multipeer (P2MP)-Verbindungen verschlüsselt?

• Privatchat- und Gruppenchat-Verschlüsselung: Sind die Chats Ende-zu-Ende-verschlüsselt?

• IP-Preisgabe: Wird die IP-Adresse in Richtung des jeweiligen Servers sowie der anderen Teilnehmer preisgegeben?

• STUN-Server: Werden Nutzungsdaten gesammelt?

• Encryption Symbol: Kann ein Endbenutzer, der wenig technisches Know-how besitzt, erkennen, ob und vor allem wie die Konferenz und die dazugehörigen Mediendaten abgesichert sind?

• Besteht ein aktiver Medienstream, wenn nur ein Teilnehmer in der Konferenz ist?

Moritz Abrells Analyse widmete sich also insbesondere Sicherheitsproblemen, die den Architekturen oder Spezifikationen geschuldet sind. Die sich hieraus ergebenden Sicherheitsschwachstellen betreffen hauptsächlich das Belauschen von Medienstreams (Verschlüsselung), die Preisgabe von IP-Adressen sowie Datenschutzaspekte.

Die Ergebnisse der Untersuchung

Jitsi

Bzgl. Jitsi, einer aus mehreren Open-Source-Projekten zusammengestellten Konferenzlösung, die sich vollständig in der eigenen Infrastruktur betreiben lässt, kam Moritz Abrell zu folgenden Untersuchungsergebnissen:

– Verwendet ein Teilnehmer einer P2P-Konferenz einen Firefox-Browser, so werden die Medienstreams Hop-by-Hop verschlüsselt.

– Eine P2MP-Konferenz wird immer Hop-by-Hop verschlüsselt.

– Chatnachrichten werden als HTTP POST-Request an den Server gesendet.

– Private IP-Adressen werden dem Server bekannt gemacht. Bei einer P2P-Konferenz werden private IP-Adressen den Teilnehmern bekannt gemacht.

– Verlassen alle anderen Teilnehmer die Konferenz, so bleibt der Medienstream zum Server für rund 20 Sekunden erhalten.

Open Rainbow

Bzgl. Open Rainbow, der kommerziellen Konferenzlösung des Unternehmens Alcatel Lucent Enterprise, kam Moritz Abrell zu folgenden Untersuchungsergebnissen:

– Open Rainbow kann nicht in einer eigenen Infrastruktur betrieben werden.

– Findet eine Konferenz aus einer Bubble heraus statt, so sind die Medienstreams Hop-by-Hop-verschlüsselt. Dies gilt sowohl für P2P- als auch P2MP -Bubble-Konferenzen.

– Beginnt eine Bubble-Konferenz mit mehr als zwei Teilnehmern und es verlassen anschließend alle bis auf zwei Teilnehmer die Konferenz, so ist der Medienstream der beiden verbliebenen Teilnehmer Hop-by-Hop-verschlüsselt.

– Chatnachrichten werden in einer WebSocket-Verbindung an den Server gesendet.

– Private IP-Adressen werden an den Server und in einer P2P-Verbindung an die Teilnehmer der Konferenz gesendet.

– Bei einem angenommenen Anruf werden alle privaten IP-Adressen übermittelt.

– Es existiert ein aktiver Medienstream zum Server in einer Bubble, ohne dass andere Teilnehmer eingewählt sind.

Microsoft Teams

Bzgl. Microsoft Teams, dem direkten Nachfolger von Skype for Business, kam Moritz Abrell zu folgenden Untersuchungsergebnissen:

– Es findet keine Ende-zu-Ende-Verschlüsselung statt.

– Chatnachrichten werden als HTTP POST-Request im Klartext an den Server gesendet.

– Die SRTP-SDES-Methode wird verwendet.

– Der AES Key wird als HTTP POST-Request an den Webserver gesendet. Der AES Key ist damit mehreren Servern bekannt.

– Es existiert ein aktiver Medienstream zum Server, wenn die Konferenz nur (noch) aus einem Teilnehmer besteht.

– Private IP-Adressen werden dem Server bekannt gemacht.

Zoom

Bzgl. Zoom, der kommerziellen Konferenzlösung des gleichnamigen Unternehmens Zoom Inc., kam Moritz Abrell zu folgenden Untersuchungsergebnissen:

– Bei der Verwendung von Zoom im Browser findet keine Ende-zu-Ende-Verschlüsselung statt.

– Chatnachrichten innerhalb einer Konferenz werden Base64-codiert an den Server gesendet.

– Nutzdaten werden im ECB-Modus verschlüsselt.

– Es existiert ein Medienstream zum Server, wenn die Konferenz nur (noch) aus einem Teilnehmer besteht.

Das Fazit der Untersuchung

Das Forschungsprojekt ergab, dass keines der untersuchten Konferenzsysteme eine vollständige Ende-zu-Ende-Verschlüsselung bietet. Teilweise ist der Schlüsselaustausch abhängig vom verwendeten Client. Beispielsweise macht es einen Unterschied, ob ein Benutzer mit der nativen mobilen Applikation, einem Firefox- oder dem Chrome-Browser einer Konferenz beitritt.

Aufgrund fehlender Ende-zu-Ende-Verschlüsselung besteht nach derzeitigem Stand die Gefahr, dass Dritte die Medienstreams belauschen können. Auch Nachrichten, die während einer Konferenz über die oftmals integrierte Chatfunktion ausgetauscht werden, sind in den untersuchten Systemen nicht Ende-zu-Ende-verschlüsselt und damit nicht ausreichend vor Einblicken Dritter geschützt.

Neben der Vertraulichkeit der Daten ist auch der Umgang mit schützenswerten Daten – wie z. B. eine lokale VPN-IP-Adresse – nicht zufriedenstellend. So können Angreifer teilweise durch einfaches Anrufen eines Kontakts bereits Informationen über die lokale IP-Adress-Konfiguration sammeln. Auch die Betreiber der Serverinstanzen können Daten über die Benutzer sammeln. So könnte man Benutzer teilweise profilieren, indem die öffentlichen und lokalen IP-Adressen zu bestimmten Zeiträumen analysiert werden. Außerdem zeigt die Untersuchung, dass es für Endbenutzer schwierig ist, zu erkennen, wie die Mediendaten einer Konferenz geschützt sind, und ob diese Ende-zu-Ende-verschlüsselt sind.

Das gesamte Paper mit allen Details und technischen Hintergründen finden Sie in unserer Pentest Library.


Termine

14.07.2020
Hack5: Exploit Development

15.07.2020
Secu6: IT-Sicherheit kennenlernen

15.07.2020
Secu6: IT-Sicherheit kennenlernen

16.07.2020
Secu7: Phishing Awareness

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99