Eine Videochat-Lösung, die einfach zu nutzen, auch für größere Gruppen taugt und noch dazu kostenlos ist: Mit diesem Versprechen hat Zoom zuletzt einen regelrechten Boom erfahren. Galt die Anwendung schon zuvor als der aufsteigende Stern in dieser Kategorie, hat die Situation rund um Covid-19 das Wachstum nun rasant beschleunigt. Zoom steht nicht nur in den App Stores von Google und Apple derzeit an der Spitze, die Nutzerzahl hat sich ebenfalls vervielfacht: Laut offiziellen Zahlen benutzen mittlerweile täglich mehr als 200 Millionen Personen Zoom. Zum Vergleich: Im Dezember waren es erst 10 Millionen. Das begeistert auch die Börse: Der Aktienkurs hat im Vergleich zu Anfang des Jahres beinahe verdoppelt.

Doch mit dem aktuellen Wachstum geht auch einher, dass Zoom genauer als bisher unter die Lupe genommen wird. Und was dabei allein in den vergangenen Tagen aufgespürt wurde, zeichnet ein wenig erfreuliches Bild, offenbart sich hier doch ein unerfreulicher Mix aus zweifelhaften Methoden, falschen Versprechungen und zum Teil verblüffenden Sicherheitsdefiziten.

Zoombombing

Für die meiste Aufmerksamkeit hat dabei sicherlich das sogenannte Zoombombing gesorgt: Online-Trolle haben sich einen Spaß daraus gemacht, die Chats anderer zu stören, indem sie über die Screensharing-Funktion schockierende Videos oder pornografische Inhalte einfügen. Das ist fraglos unerfreulich, aber genau genommen auch noch eines der kleineren aktuellen Probleme von Zoom. Immerhin lässt sich die Möglichkeit des Screensharings leicht über die Einstellungen auf den Initiator des Chats beschränken, womit solche Angriffe dann nicht mehr funktionieren. Dass dies überhaupt möglich ist, hat mit einer Eigenheit zu tun, die Zoom erst so einfach zu nutzen macht: Von Haus aus ist jeder Chat öffentlich, wer die richtige Gruppen-ID – oder den passenden Link – hat, der kann auch daran teilnehmen. Insofern ist es für vertrauliche Gespräche natürlich besonders wichtig, diese Informationen geheim zu halten. Etwas, das auch noch so mancher Politiker lernen muss.

So sorgte der britische Premierminister Boris Johnson vor wenigen Tagen für unfreiwilliges Amüsement, als er stolz einen Screenshot der ersten über Zoom abgehaltenen Kabinettsbesprechung postete. Darauf zu sehen: die erwähnte Gruppen-ID. Zumindest hatte man den betreffenden Chat per Passwort abgesichert – ein direkter Zugang war also nicht möglich. Trotzdem darf bezweifelt werden, dass die britischen Sicherheitsbehörden mit dieser Offenbarung sonderlich glücklich waren. Immerhin ist es generell eine etwas seltsame Entscheidung, so sensible Regierungsbesprechungen auf Zoom abzuhalten. Der Service ist nämlich nicht Ende-zu-Ende-verschlüsselt, das heißt, dass der in den USA beheimatete Betreiber theoretisch Einblick in die Diskussionen nehmen könnte.

Verschlüsselungsfragen

Genau an dieser Stelle kommen wir aber zu den einleitend erwähnten falschen Versprechungen – behauptet Zoom doch sehr wohl, dass die Videochats Ende-zu-Ende-verschlüsselt seien, und zwar nicht nur auf der eigenen Website, sondern auch im offiziellen Security Whitepaper sowie in der App. Das ist aber kompletter Unsinn. Auf Nachfrage von "The Intercept" bestätigte das Unternehmen am Dienstag, dass die Daten zwar zwischen Nutzer und Server verschlüsselt sind, aber nicht am Server selbst. Insofern ist das, was beschrieben wird, nichts anderes als klassische Transportverschlüsselung, wie sie auch für HTTPS-Verbindungen im Web genutzt wird. Mit echter Ende-zu-Ende-Verschlüsselung, bei der Außenstehende keinerlei Einblick haben, hat dies rein gar nichts zu tun. Es folgte eine "Klarstellung" von Zoom in Form eines Blogeintrags – was nichts daran ändert, dass die falsche Behauptung derzeit noch immer auf der Website und in den Apps zu finden ist. Damit hier kein falscher Eindruck entsteht: Auch viele andere Videokonferenz-Programme sind nicht Ende-zu-Ende-verschlüsselt. Sie behaupten das aber auch nicht und wiegen so nicht ihre Nutzer in falscher Sicherheit.

Fragwürdige Tricks

Fast zeitgleich dazu wurden reichlich zweifelhafte Methoden von Zoom bei seiner App für Mac OS öffentlich: So bedient sich der Installer eines Tricks, um die Zustimmung der Nutzer zu umgehen, die eigentlich vor jeder Installation eingeholt werden muss. Einmal auf die Datei geklickt, wird das Programm also umgehend auf dem Datenträger eingerichtet. Noch unerfreulicher ist ein zweites Verhalten: Ist der installierende User nicht in der Admin-Gruppe, fragt Zoom nach dem Root-Passwort des Systems – und zwar mit einem Dialog, der gezielt so manipuliert wurde, dass er wie eine Systemabfrage aussieht. Dass die Anfrage irgendetwas mit Zoom zu tun hat, ist nicht ersichtlich. Methoden, bei denen die Entdecker dieses Problems deutliche Worte finden: Solche Tricks seien sonst eigentlich nur von Schadsoftware bekannt.

Vorgeschichte

Nun könnte man dies für einen einmaligen Ausrutscher halten, ist es aber nicht: Zoom hat nämlich bereits eine einschlägige Vorgeschichte. Erst vergangenen Juli fand sich das Unternehmen in den Schlagzeilen, als bekannt wurde, dass bei der Deinstallation der Mac-OS-Version Reste am System zurückbleiben. Und nicht einfach ein paar verstreute Dateien, sondern ein kompletter Webserver, der sich noch dazu von Webseiten ausnutzen ließ, um ohne Zustimmung der Nutzer Zugriff auf die Webcam zu bekommen. Damit gelang Zoom etwas, das in der Mac-OS-Geschichte eine echte Rarität darstellt: Apple selbst liefert ein Update für sein Betriebssystem aus, um den betreffenden Server restlos loszuwerden.

Sicherheitsdefizite

In die Kritik ist zuletzt aber auch die Sicherheit von Zoom gekommen. Am Dienstag wurde ein Fehler bekannt, über den Angreifer mithilfe von in Zoom-Chats geposteten Links Windows-Login-Daten abgreifen können. Am MIttwoch veröffentlichte dann ein ehemaliger NSA-Hacker zwei weitere, bisher ungepatchte, Lücken – beide in der Mac-Version von Zoom. Die eine erlaubt Angreifern Zugriff auf Mikrofon und Kamera. Die zweite macht sich die zuvor beschriebenen Installer-Tricks zu nutze, um Root-Rechte für eine Schadanwendung zu erhalten. Und auch die automatische Vergabe von kurzen (neun bis elf Zeichen) Gruppen-IDs für die Chats scheint im nachhinein betrachtet nicht die schlaueste Idee von Zoom gewesen zu sein: Wie Sicherheitsforscher aufgespürt haben, kursieren mittlerweile Tools, die einfach alle Zahlenkombinationen ausprobieren, und schauen ob Chats offen zugänglich sind – und dann gleich Details auslesen.

Denkfehler

Und dann wäre da noch das, worüber "Motherboard" am Mittwoch zu berichten hatte: nämlich einen fatalen Denkfehler der Zoom-Entwickler. Wie sich zeigt, geht Zoom nämlich – mit der Ausnahme großer Anbieter wie Gmail oder Hotmail – davon aus, dass alle E-Mail-Adressen von der gleichen Domain auch Teil derselben Firma sind. Das Problem dabei: Wer Teil der gleichen Firma ist, hat auch automatisch Zugriff auf das Firmenverzeichnis. Das heißt nun, dass Nutzer diverser kleinerer Provider verblüfft feststellen mussten, dass sie Namen, E-Mail-Adresse und Foto sämtlicher Zoom-User, die eine Mailadresse vom selben Provider für Zoom verwenden, einsehen konnten.

Zu all dem kommen dann noch zweifelhafte Features wie das User-Tracking in Videoanrufen, über das der Administrator eines Chats sieht, welche Nutzer sich während einer Präsentation anderen Aufgaben zuneigen. Oder auch das vollkommene Fehlen eines Transparenzberichts, der über das Ausmaß von staatlichen Datenanfragen informiert – zumindest verspricht man in dieser Hinsicht Besserung.

Reaktion

Fairerweise muss man betonen, dass Zoom mittlerweile bereits das eine oder andere Defizit ausgebessert hat. Allen voran die Privacy Policy, die vor kurzem noch explizit die Weitergabe von Daten an Dritte erlaubt hätte. Dies wird in einer neuen Version nun ausgeschlossen – und das ist ein echter Fortschritt. Zudem wurde auch ein vieldiskutiertes Datenleck in der iOS-App bereinigt, über das selbst Informationen über Nicht-Facebook-Nutzer an Facebook geschickt wurden. Angemerkt sei dabei allerdings, dass sich dieses Problem automatisch aus Nutzung des offiziellen Entwicklungskits für Facebook Login ergeben hat. Das heißt auch, dass dieses Verhalten beileibe keine Seltenheit unter Android- und iOS-Apps ist. Das ist natürlich kein sonderlicher Trost, aber die Aufregung darüber scheint in Relation doch etwas überzogen. Kritik muss sich Zoom hingegen dafür gefallen lassen, dass der Datentransfer zu Facebook in der Privacy Policy keinerlei Erwähnung fand.

Manches ist normal, manches ist schlimm

Eine lange Aufzählung von Problemen, die am Schluss trotzdem noch etwas Einordnung braucht. So unerfreulich etwa die jetzt aufgetauchten Sicherheitsprobleme sind, ein Ausschlussgrund für die Nutzung von Zoom sind sie nicht. Solche Bugs passieren praktisch jedem Softwarehersteller irgendwann einmal, und die aktuelle Häufung ist nicht zuletzt darauf zurückzuführen, dass sich die Sicherheits-Community aufgrund der rasant gewachsenen Popularität gerade etwas auf Zoom eingeschossen hat. Zudem hat Zoom ein paar dieser Bugs auch bereits geschlossen. Und besonders erfreulich ist, dass Zoom verspricht, sich in den kommenden 90 Tagen exklusiv auf Verbesserungen in den Bereichen Privatsphäre und Sicherheit konzentrieren zu wollen.

Gleichzeitig gilt: Software mit der Hoffnung auf irgendwelche vagen Versprechungen zu verwenden, ist nie ein guter Rat. Insofern bleiben nur die aktuellen Fakten als Entscheidungsbasis, und da ist das Bild eindeutig: Angesichts all der falschen Versprechungen und zweifelhaften Methoden, ist es derzeit eigentlich unmöglich, dem Hersteller im Umgang mit so sensiblen Daten, wie es private Videochats nun einmal sind, zu vertrauen. (Andreas Proschofsky, 3.4.2020)