Check Point Reserach hat den beliebten Meeting-Service Zoom unter die Lupe genommen: Eine Schwachstelle im Zoom-Meeting-Service öffnete Angreifern Tür und Tor. Hacker waren in der Lage, sich in Gespräche einzuwählen und dort heimlich mitzuhören, also auch gezielt Spionage zu betreiben.
Check Point Research fand heraus, dass Angreifer eine Vielzahl von Zoom-Meetings durch das Generieren und Verifizieren von Zoom-Meeting-IDs abhören konnten. Nachdem die Sicherheitsforscher den Anbieter informierten, führte Zoom eine Reihe von Sicherheitsänderungen durch.
Die Sicherheitslücke erlaubte es den Angreifern, umfangreiche Spionage-Aktivitäten durchzuführen, unter anderem sich Zugang zu allen Audio-, Video- und Dokumenten-Dateien zu verschaffen, die während einer Sitzung ausgetauscht wurden. Der Meeting-Service wird weltweit von 74 000 Unternehmen genutzt. Im Durchschnitt werden 80 Milliarden Sitzungsprotokolle pro Jahr erstellt, beziehungsweise Meetings geplant und durchgeführt.
Zoom-Meeting-IDs sind Zugriffspunkte für Teilnehmer zu den Meetings. Diese ID-Nummern bestehen in der Regel aus 9-, 10- und 11-stelligen Nummern. Die Sicherheitsforscher haben herausgefunden, dass ein Angreifer eine lange Liste von Zoom-Meeting-IDs generieren und mit Hilfe von Automatisierungstechniken schnell überprüfen konnte, ob eine entsprechende Zoom-Meeting-ID gültig ist oder nicht.
Folglich konnte er dann Zugang zu Zoom-Meetings erhalten, die nicht passwortgeschützt waren. Die Vorgehensweise war einfach:
- Eine Liste von Zoom-Meeting-IDs erstellen
- Die Existenz dieser Zoom-Meeting-IDs überprüfen
- Mit der Sitzung verbinden
Check Point nahm am 22. Juli 2019 erstmals Kontakt mit Zoom auf und teilte die Ergebnisse der Analyse als Teil des üblichen Offenlegungsverfahrens mit. In der Folge arbeitete der Sicherheitshersteller mit Zoom zusammen und gab eine Reihe von Korrekturen und neuen Funktionen heraus, um die entdeckten Sicherheitsmängel vollständig zu beheben.
Zoom führte darufhin die folgenden Sicherheitsmerkmale und Funktionalitäten in seine Meeting-Lösung ein:
- Zwang zum Passwort: Das Passwort wird zwingend für alle Besprechungen hinzugefügt.
- Passwort-Zusätze durch Benutzer: Benutzer können ein Passwort zu bereits geplanten Meetings hinzufügen und erhalten per E-Mail Anweisungen dazu.
- Durchsetzung des Passworts auf Konto- und Gruppenebene: Passwort-Einstellungen sind auf Konto- und Gruppenebene durch den Kontoverwalter durchsetzbar.
- Überprüfung der Besprechungs-ID: Zoom zeigt nicht mehr automatisch an, ob eine Besprechungs-ID gültig oder ungültig ist. Bei jeder Anfrage wird die Seite geladen und versucht, der Besprechung beizutreten. So kann ein Angreifer nicht mehr schnell den ID-Pool der Besprechung, der er beizutreten versucht, eingrenzen.
- Geräte-Blocker: Wiederholte Versuche, nach Besprechungs-IDs zu scannen, führen dazu, dass ein Gerät für eine bestimmte Zeit blockiert wird.