Zoom, Herausgeber der gleichnamigen Videokonferenz-App, hat eingeräumt, dass seine selbst entwickelte Verschlüsselungstechnik nicht den Anforderungen einer heutigen Kommunikationsanwendung genügt. Das Unternehmen reagiert damit auf eine Untersuchung des zur University of Toronto gehörenden Citizen Lab, die die App als ungeeignet für den Einsatz in Behörden und Unternehmen einstuft.
„Die Ver- und Entschlüsselung von Zoom verwendet AES im ECB-Modus, was allgemein als schlechte Idee angesehen wird, weil dieser Verschlüsselungsmodus die Eingabemuster bewahrt. Industrielle Standardprotokolle zur Verschlüsselung von Streaming-Medien (wie der SRTP-Standard) empfehlen die Verwendung von AES im Segmented Integer Counter Mode oder f8-Modus, die nicht die gleiche Schwäche wie der ECB-Modus haben“, teilte Citizen Lab mit.
Zudem entdeckten die Forscher nach eigenen Angaben schwerwiegende Sicherheitslücken in der Wartezimmer-Funktion der App, über die Zoom inzwischen informiert wurde. Nutzern rät Citizen Lab, die Funktion derzeit zu meiden und Passwörter für Meetings zu vergeben.
Darüber hinaus kritisierte Citizen Lab, dass Nutzer, die an Videokonferenzen mit Personen aus China teilnehmen, Verschlüsselungsschlüssel von chinesischen Servern erhalten, auch wenn sie sich selbst nicht in China aufhalten. Zoom erklärte dazu, dass es sich um ein Versehen handele, da eigentlich sichergestellt sei, dass die Kommunikation von Nutzern außerhalb von China nicht über chinesische Server geleitet werde. Beim Ausbau der Kapazitäten für chinesische Nutzer im Februar seien zwei Server versehentlich auf einer Whitelist gelandet, die das Geofencing umgehe. Dieses Problem sei nun behoben.
Zuletzt hatte das US-Unternehmen angekündigt, über eine Zeitraum von 90 Tagen keine neuen Funktionen zu entwickeln und sich stattdessen auf die Fehlerbeseitigung zu konzentrieren. Die Zoom-App sei nicht mit Hinblick auf ein derartig schnelles Nutzerwachstum entwickelt worden. Die Zahl der täglichen Meetings habe sich von 10 Millionen im Dezember auf 200 Millionen im März erhöht.
Schon in der vergangenen Woche hatte Zoom eingeräumt, dass es entgegen den Angaben auf seiner Website keine Ende-zu-Ende-Verschlüsselung verwendet. Das Unternehmen ist also in der Lage, jegliche über seine Server laufende Kommunikation zu entschlüsseln.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
Weitere 40 Prozent der Deutschen erledigen ihre Geldgeschäfte überwiegend online und gehen nur noch selten…
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…
Mit der zunehmenden computerbasierten und globalen Vernetzung gewinnt die digitale Souveränität an rasanter Bedeutung. Viele…
