Categories: Sicherheit

Zoom räumt ein: Hauseigene Verschlüsselungstechnik ist unzureichend

Zoom, Herausgeber der gleichnamigen Videokonferenz-App, hat eingeräumt, dass seine selbst entwickelte Verschlüsselungstechnik nicht den Anforderungen einer heutigen Kommunikationsanwendung genügt. Das Unternehmen reagiert damit auf eine Untersuchung des zur University of Toronto gehörenden Citizen Lab, die die App als ungeeignet für den Einsatz in Behörden und Unternehmen einstuft.

Demnach nutzt Zoom eine eigene Verschlüsselungstechnik, die über eine Erweiterung für das Kommunikationsprotokoll WebRTC bereitgestellt wird. Sie soll jedoch auf einem AES-128-Schlüssel im ECB-Modus (Electronic Code Book) basieren – und nicht auf AES-256, wie von Zoom angegeben.

„Die Ver- und Entschlüsselung von Zoom verwendet AES im ECB-Modus, was allgemein als schlechte Idee angesehen wird, weil dieser Verschlüsselungsmodus die Eingabemuster bewahrt. Industrielle Standardprotokolle zur Verschlüsselung von Streaming-Medien (wie der SRTP-Standard) empfehlen die Verwendung von AES im Segmented Integer Counter Mode oder f8-Modus, die nicht die gleiche Schwäche wie der ECB-Modus haben“, teilte Citizen Lab mit.

Zudem entdeckten die Forscher nach eigenen Angaben schwerwiegende Sicherheitslücken in der Wartezimmer-Funktion der App, über die Zoom inzwischen informiert wurde. Nutzern rät Citizen Lab, die Funktion derzeit zu meiden und Passwörter für Meetings zu vergeben.

Darüber hinaus kritisierte Citizen Lab, dass Nutzer, die an Videokonferenzen mit Personen aus China teilnehmen, Verschlüsselungsschlüssel von chinesischen Servern erhalten, auch wenn sie sich selbst nicht in China aufhalten. Zoom erklärte dazu, dass es sich um ein Versehen handele, da eigentlich sichergestellt sei, dass die Kommunikation von Nutzern außerhalb von China nicht über chinesische Server geleitet werde. Beim Ausbau der Kapazitäten für chinesische Nutzer im Februar seien zwei Server versehentlich auf einer Whitelist gelandet, die das Geofencing umgehe. Dieses Problem sei nun behoben.

Zuletzt hatte das US-Unternehmen angekündigt, über eine Zeitraum von 90 Tagen keine neuen Funktionen zu entwickeln und sich stattdessen auf die Fehlerbeseitigung zu konzentrieren. Die Zoom-App sei nicht mit Hinblick auf ein derartig schnelles Nutzerwachstum entwickelt worden. Die Zahl der täglichen Meetings habe sich von 10 Millionen im Dezember auf 200 Millionen im März erhöht.

Schon in der vergangenen Woche hatte Zoom eingeräumt, dass es entgegen den Angaben auf seiner Website keine Ende-zu-Ende-Verschlüsselung verwendet. Das Unternehmen ist also in der Lage, jegliche über seine Server laufende Kommunikation zu entschlüsseln.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Hacker nehmen deutsche Nutzer mit Banking-Malware Gootkit ins Visier

Die Angreifer finden ihre Opfer mithilfe von kompromittierten Websites. Dort sollen falsche Forenbeiträge sie zum…

56 Minuten ago

Irreführende Werbung: Apple zahlt in Italien 10 Millionen Euro Strafe

Es geht um die von Apple angepriesene Wasserfestigkeit seiner iPhones. Das Unternehmen soll in der…

3 Stunden ago

Bericht: US-Justiz bereitet vier Kartellklagen gegen Google und Facebook vor

Sie sollen bis Ende Januar eingereicht werden. Es geht jeweils um einen möglichen Missbrauch einer…

5 Stunden ago

Forscher warnen vor Abhängigkeiten von DNS-Anbietern

Unter den führenden 100.000 Websites sind 84,8 Prozent von einem einzigen externen DNS-Anbieter abhängig. Selbst…

6 Stunden ago

Project Latte: Microsoft entwickelt Android-Subsystem für Windows 10

Es folgt dem Beispiel des Windows Subsystem for Linux. Android-Apps sollen mit wenigen Handgriffen als…

21 Stunden ago

Großbritannien verbietet ab September 2021 Einbau von 5G-Ausrüstung von Huawei

Produkte von Hochrisikoanbietern sollen bis 2027 auf den Netzen verschwinden. Künftig setzt Großbritannien auf ein…

23 Stunden ago