De problemen van Zoom op een rij gezet

Abonneer je gratis op Techzine!

De afgelopen tijd is er nogal wat rumoer ontstaan rondom de Zoom-app voor videoconferencing, die nu veel gebruikt wordt als collaboration-tool tijdens de coronacrisis. In de app zijn meerdere beveiligingslekken gevonden, welke soms de privacy van gebruikers ernstig in gevaar brengen. Omdat we soms door de bomen het bos niet meer zagen, besloten we de gesignaleerde problemen op een rij te zetten.

Door de stijgende populariteit van de Zoom-app werd een aantal problemen met de privacy en beveiliging van Zoom duidelijk. Sommige security-onderzoekers vonden de problemen zelfs zo ernstig dat ze hebben aangeraden de dienst niet meer te gebruiken, en om juist alternatieven te gebruiken. De gebruikersaantallen van de app stegen in maart van 10 miljoen naar 200 miljoen actieve gebruikers per dag.

Grote privacyproblemen

Privacyorganisatie Electronic Frontier Foundation (EFF) benoemde een aantal problemen met de app. De beheerder van een meeting had bijvoorbeeld de mogelijkheid om te tracken hoe goed deelnemers opletten, via een speciale functie (die is ondertussen uitgeschakeld). Ook hadden beheerders van gesprekken, en zelfs beheerders binnen het bedrijf, toegang tot alle inhoud van opgenomen gesprekken. Daar bovenop hadden beheerders voor elke call de mogelijkheid om data van deelnemers te verzamelen. Denk daarbij onder meer aan welk besturingssysteem ze gebruiken, welk IP-adres, locatiegegevens van gebruikers en informatie over devices van deelnemers. Over het uitschakelen van deze laatste twee issues heeft Zoom tot nu toe nog niets naar buiten gebracht.

Verder verstuurde de iOS-app van Zoom data van gebruikers naar Facebook. Uiteindelijk verwijderde het bedrijf later de code die daarvoor zorgde, maar de vraag is wel waarom die code er in de eerste plaats in zat.

Een ander probleem betrof het zogenaamde Zoombombing, waarbij hackers videoconferenties overnamen om pornografisch of racistisch videomateriaal te laten zien. Dit kan voorkomen worden door een aantal instellingen uit te schakelen voor een call. Denk aan instellingen die het delen van bestanden toelaten zonder toestemming van beheerders, of het afgeven van controle over je scherm. De vraag is opnieuw waarom dat soort functies überhaupt standaard aan staat.

Kwetsbaarheden

Bleeping Computer rapporteerde dat de Windows-client van Zoom kwetsbaar was voor hackers die wachtwoorden stelen. The Intercept wist verder te onthullen dat calls niet versleuteld zijn van begin tot eind, terwijl Zoom wel beweerde dat dat het geval was. Motherboard wist te melden dat de app e-mailadressen en foto’s van personen lekte naar anderen, als ze onder hetzelfde bedrijf vielen. Vooral bij grote bedrijven kan dat uiteraard leiden tot wildvreemden die gegevens in handen krijgen.

Objective-See ontdekte verder dat er twee zero-day bugs in Zoom bestonden die een hacker, mocht deze controle krijgen over het systeem, in staat stelt om malware te installeren. Vervolgens kunnen de microfoon en de webcam worden overgenomen om video op te nemen.

Verdachte werkwijze

Een software engineer merkte op Twitter op dat de client van Zoom voor macOS zich gedraagt op een manier die te vergelijken is met malware. Op die manier werd de standaard-installer van macOS omzeild. Dit is in principe op zichzelf geen reden tot paniek, aangezien het er feitelijk alleen op neerkomt dat Zoom op een andere manier wordt geïnstalleerd. Wel duidt het op onhandige code en helpt het niet om alle andere problemen in een beter daglicht te stellen.

Uit een verslag van The Citizen Lab bleek verder nog dat videocalls van Zoom via Chinese netwerken verliepen. Daarbij werden encryption keys gebruikt die ook in China werden uitgegeven, waardoor het per saldo zo was dat alle macht om die calls eventueel te onderscheppen ook in China lag. De link met China is overigens nog wel te verklaren, doordat een deel van de softwareontwikkeling van Zoom in dat land wordt uitbesteed.

Securityfirma Check Point toonde aan dat het aantal domeinnamen dat onder ‘Zoom’ is geregistreerd, de afgelopen week met 25 procent is gestegen tot zo’n 17.000. Dit gaat waarschijnlijk om frauduleuze websites, waarbij de domeinnamen gebruikers moeten verleiden om op links te klikken. ZDnet berichtte dan ook dat hackers ondertussen al onder meer op Discord, Reddit en online fora groepen vormen om informatie en tactieken te delen, om misbruik te kunnen maken van de kwetsbaarheden in Zoom.

Hoe reageert Zoom zelf op alle ophef?

Eric Yuan, CEO van Zoom, heeft zich ondertussen verontschuldigd voor alle fouten van het bedrijf in een blogpost. Er wordt een aantal stappen ondernomen. Het bedrijf bevriest bijvoorbeeld alle functies voor 90 dagen. Verder zijn de meeste van de bovengenoemde bugs verholpen, wordt het bug bounty-programma verbeterd en laat het bedrijf een security-beoordeling uitvoeren door onafhankelijke deskundigen. In een andere blogpost werd de uitleg geboden over de problemen met encryptie. Ook zal Yuan vanaf nu een wekelijkse privacy review call hosten, om zo transparant mogelijk te zijn.

EFF liet aan The Next Web weten dat mensen zich terecht zorgen maken over hun privacy: “We hebben moeite met berichten dat Zoom analytische gegevens over gebruikers deelt met Facebook. We weten nog steeds niet in hoeverre Zoom gebruikersgegevens deelt met andere partijen.”

Wat ons betreft is het niet per sé slecht nieuws dat er zo veel problemen met de app zijn gesignaleerd, aangezien dit alleen maar kan leiden tot verbetering. Het is een illusie dat er diensten bestaan zonder enige problemen, maar als Zoom alle beloftes kan waarmaken zal er een sterk veiligere app uit de komende periode rollen. Verder wordt er nu wel een heel sterk vergrootglas op het bedrijf gelegd, aangezien het gebruik van Zoom door het coronavirus zo is geëxplodeerd. Het zou dan ook goed kunnen dat er bij andere diensten op een later tijdstip ook dergelijke problemen worden gesignaleerd.

Update 15-04: Ondertussen is bekend dat bovenop alle andere problemen de gegevens van zo’n 500.000 accounts van Zoom op straat liggen. E-mailadressen, wachtwoorden en meeting-ID’s waren beschikbaar op het dark web. Het moet gezegd worden dat Zoom waarschijnlijk maar deels iets te verwijten valt, omdat de kans groot is dat de gegevens in andere hacks zijn buitgemaakt. Mensen hebben vooral een probleem als ze op verschillende diensten dezelfde combinatie van e-mailadres en wachtwoord gebruiken.

Aan de andere kant werd ook bekend dat Zoom ook wel aan de slag is met alle problemen; meeting-ID’s worden weggehaald uit de title bar van de app, zodat er geen screenshots meer gemaakt kunnen worden van die ID’s. Ook kunnen betalende gebruikers nu zelf kiezen via welke servers hun dataverkeer wordt geleid. Zoom liet verder weten dat er geen Chinese servers meer ingezet zouden worden, ook niet bij gratis account.