Zoom, Herausgeber der gleichnamigen Videokonferenz-App, hat eingeräumt, dass seine selbst entwickelte Verschlüsselungstechnik nicht den Anforderungen einer heutigen Kommunikationsanwendung genügt. Das Unternehmen reagiert damit auf eine Untersuchung des zur University of Toronto gehörenden Citizen Lab, die die App als ungeeignet für den Einsatz in Behörden und Unternehmen einstuft.
„Die Ver- und Entschlüsselung von Zoom verwendet AES im ECB-Modus, was allgemein als schlechte Idee angesehen wird, weil dieser Verschlüsselungsmodus die Eingabemuster bewahrt. Industrielle Standardprotokolle zur Verschlüsselung von Streaming-Medien (wie der SRTP-Standard) empfehlen die Verwendung von AES im Segmented Integer Counter Mode oder f8-Modus, die nicht die gleiche Schwäche wie der ECB-Modus haben“, teilte Citizen Lab mit.
Zudem entdeckten die Forscher nach eigenen Angaben schwerwiegende Sicherheitslücken in der Wartezimmer-Funktion der App, über die Zoom inzwischen informiert wurde. Nutzern rät Citizen Lab, die Funktion derzeit zu meiden und Passwörter für Meetings zu vergeben.
Darüber hinaus kritisierte Citizen Lab, dass Nutzer, die an Videokonferenzen mit Personen aus China teilnehmen, Verschlüsselungsschlüssel von chinesischen Servern erhalten, auch wenn sie sich selbst nicht in China aufhalten. Zoom erklärte dazu, dass es sich um ein Versehen handele, da eigentlich sichergestellt sei, dass die Kommunikation von Nutzern außerhalb von China nicht über chinesische Server geleitet werde. Beim Ausbau der Kapazitäten für chinesische Nutzer im Februar seien zwei Server versehentlich auf einer Whitelist gelandet, die das Geofencing umgehe. Dieses Problem sei nun behoben.
Zuletzt hatte das US-Unternehmen angekündigt, über eine Zeitraum von 90 Tagen keine neuen Funktionen zu entwickeln und sich stattdessen auf die Fehlerbeseitigung zu konzentrieren. Die Zoom-App sei nicht mit Hinblick auf ein derartig schnelles Nutzerwachstum entwickelt worden. Die Zahl der täglichen Meetings habe sich von 10 Millionen im Dezember auf 200 Millionen im März erhöht.
Schon in der vergangenen Woche hatte Zoom eingeräumt, dass es entgegen den Angaben auf seiner Website keine Ende-zu-Ende-Verschlüsselung verwendet. Das Unternehmen ist also in der Lage, jegliche über seine Server laufende Kommunikation zu entschlüsseln.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…
Seine Trainingsdaten umfassen 3,8 Milliarden Parameter. Laut Microsoft bietet es eine ähnliche Leistung wie OpenAIs…
Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…
Die Einladung zeigt einen zeichnenden Apple Pencil. Der wiederum deutet auf neue iPads hin. Es…
