Zoom Revisited

Der SySS-IT-Sicherheitsexperte Michael Strametz fand Ende 2020 eine Schwachstelle in der Videokonferenzsoftware Zoom, die erst in der letzten Woche veröffentlicht wurde (CVE-2021-28133) und von Expert IT Security Consultant Matthias Deeg anschaulich im Proof of Concept-Video „Zoom Unintended Screen Sharing Issue“ demonstriert wird.

Die Funktion der Bildschirmfreigabe kann bei Zoom dazu führen, dass auch andere Fenster beim Öffnen oder Schließen unfreiwillig angezeigt werden. Je nach Inhalt der ungewollt freigegebenen Daten ein mehr oder weniger schwerwiegendes Sicherheitsproblem, wie Strametz und Deeg bereits erläuterten.

Insbesondere in Homeoffice-Zeiten und bei offenkundig weit verbreiteter Nutzung von Videokonferenzen ist dies ein durchaus sicherheitsrelevanter Bug, der auch heise online und golem.de veranlasste, über die Sicherheitslücke zu berichten. Da die unfreiwillig geteilten Informationen nur kurzzeitig während der Konferenz zu sehen sind, bewerteten die Nachrichtenportale Threatpost und The Hacker News die „Durchführung eines potenziellen Angriffs als schwierig“.
Jedoch warnt Deeg vor der unbeabsichtigten Weitergabe vertraulicher Daten in alltäglichen Konferenzen, da diese auch aufgezeichnet und später vollständig eingesehen werden könnten. Der Schweregrad der Sicherheitslücke, so der Experte, sei somit in Wirklichkeit abhängig von der Art der preisgegebenen Daten.

Trotz mehrerer Anfragen nach Status-Updates an Zoom ist das Problem bisher nicht behoben. Auf Nachfrage von Threatpost will Zoom die Lücke mit der kommenden Version schließen.

Bis dahin gilt: Obacht beim Öffnen oder Schließen – je nach Betriebssystem – von Fenstern, die nicht geteilt werden sollen.