Sicherheitslecks in der Videokonferenz-App Zoom ermöglichen es, macOS-Nutzer über manipulierte Webseiten unfreiwillig zu Teilnehmern an Videochats zu machen und dabei auch Zugriff auf Webcam und Mikrofon zu haben. Schuld ist ein schlecht dokumentierter lokaler Server, der mit Zoom mitinstalliert wird.

Nach der Veröffentlichung der Lücken durch den Sicherheitsforscher Jonathan Leitschuh, der Zoom lange Untätigkeit und unzureichende Ausbesserungen vorwarf, betonte die Firma noch, an dem Server aus Komfortgründen festhalten zu wollen. Denn er erlaubt es, ohne Sicherheitswarnungen des Safari-Browsers in Konferenzen einzusteigen. Nun rudert man aber zurück, schreibt ZDNet.

Löschung und Stilllegung

Der lokale Server wird nun entfernt. Vor kurzem hat man mit der Verteilung eines Updates begonnen, im Rahmen dessen "der lokale Server komplett gelöscht wird", heißt es bei Zoom. Auch Nutzer, die Zoom nicht mehr nutzen oder bereits deinstalliert haben, sollen durch den Verbleib des Servers nicht mehr gefährdet sein. Da man ihn um firmeneigenen Backend stilllege, könne er auch lokal nicht mehr missbraucht werden.

Erstaunlicherweise beruft sich Zoom für diesen Schritt aber nicht auf Leitschuhs Sicherheitsbedenken, sondern auf "Feedback aus der Security-Community und unserer User." Für den 12. Juli hat man zudem ein weiteres Update geplant, danach soll sich die App auch verlässlich merken, ob ein Nutzer seine Webcam bei Konferenzen automatisch aktivieren möchte, oder nicht. (red, 10.07.2019)