Zoom-Dialer: erspäht viel zu viele Informationen (Foto: SecKC, twitter.com)

Die im Covid-19-Zeitalter boomende Videokonferenz-Lösung Zoom hat ein echtes Problem mit "Zoom-Bombing", dem ungeladenen Hereinplatzen von Trollen in Meetings. Obwohl der Hersteller versichert hat, standardmässig Chatrooms mit Passwörtern zu schützen, scheint das nicht recht zu greifen. Denn Sicherheitsforscher haben mit "zWardial" ein Programm entwickelt, das für etwa 100 Konferenzen pro Stunde die Meeting-ID erraten und weitere Infos ausspionieren kann - was allerdings nur klappt, wenn die Meetings nicht passwortgeschützt sind.

Laut Zoom gibt es seit Ende 2019 standardmässig einen Passwortschutz für Konferenzen mit dem Tool. Doch in den vergangenen Wochen kam es immer öfter zu Zoom-Bombing-Vorfällen, bei denen ungeladene Gäste ein Meeting gestört haben. Das deutet auf Probleme mit dem Passwortschutz hin - entweder haben viele Nutzer die Passwortfunktion deaktiviert oder der Passwortschutz funktioniert aus irgendeinem Grund nicht richtig. ZWardial deute nun darauf hin, das letzteres der Fall ist, berichtet "Krebsonsecurity".

Das von Sicherheitsforscher Trent Lo und der Gruppe SecKC entwickelte Tool ist nach altmodischen Telefon-Dialern benannt, die mit zufälligen Zahlenfolgen nach Modems suchten. Ähnlich dazu sucht zWardialer nach Zoom-Meeting-IDs und nutzt Tor, um Zooms Gegenmassnahmen auszuhebeln. Rund 14 Prozent der ausprobierten zufälligen IDs führen Lo zufolge zu einem offenen Zoom-Meeting - also einem, das trotz angeblich standardmässig aktiviertem Passwortschutz kein Passwort nutzt. Eine einzelne laufende Kopie des Programms findet so rund 100 Konferenzen pro Stunde. Zwar wählt sich zWardial nicht direkt in Meetings ein, doch es sammelt Daten zur Konferenz.

Die so erspähten Infos umfassen den Direkt-Link für den Beitritt zu einem Meeting, Datum und Uhrzeit der Konferenz sowie den Namen des Organisators und von diesem bereitgestellte Infos zum Thema. Das alles klappt aber nur, wenn kein Passwortschutz zum Einsatz kommt, so Lo. Dennoch hat das Tool Daten zu Meetings unter anderem von Grossbanken, grossen Consultingfirmen sowie Tech-Unternehmen gefunden. Da gerade letztere wohl nicht allesamt absichtlich den Standard-Passwortschutz abgedreht haben, legt das ein Problem nahe.

Zoom hat gegenüber Krebsonsecurity auch bestätigt, dass das Unternehmen untersucht, ob der Zugang mit standardmässig aktiviertem Passwort unter bestimmten Umständen versagt. Jedenfalls hat das Unternehmen nach diversen Zoom-Bombing-Angriffen, bei denen unter anderem Kinder mit Pornos bombardiert wurden, mit fortgesetzt schlechter PR zu kämpfen. Aufgrund der von Lo und SecKC gesammelten Informationen mahnt mittlerweile sogar das Better Business Bureau, der Sicherheit des Tools nicht blind zu vertrauen.
https://seckc.org



Der Online-Stellenmarkt für ICT Professionals