Alexander Trust, den 31. März 2020

Zoom und Datenschutz: Es ist alles noch viel schlimmer

Hacker (Symbolbild), Bild: CC0

Die New Yorker Datenschutzbehörde nimmt den Anbieter der Kommunikationsapp Zoom unter die Lupe. Gleichzeitig wurde bekannt, dass Videochats mit Zoom nicht Ende-zu-Ende-verschlüsselt sind und die Installation der Software auf einem Mac zumindest fragwürdig ist.

Es ist wenige Tage her, da wurde bekannt, dass die Zoom-App Daten an Facebook liefert, selbst wenn Nutzer der App gar nicht am Netzwerk von Mark Zuckerberg angemeldet sind. Dieses „Versehen“ konnte man noch auf eine mögliche, unsaubere Programmierung und Nachlässigkeit bei der Ausformulierung der Datenschutzbestimmungen abwälzen, vor allem da der Anbieter zeitig ein kleines Update nachlieferte.

New Yorker Datenschutzbehörde hellhörig

Die App der Firma „Zoom Video Communications“ hat mittlerweile auch Datenschützer aus New York auf den Plan gerufen. Die untersuchen mögliche Verstöße gegen die vor Ort geltenden Datenschutzgesetze, trotz oder gerade wegen dem Ausbruch der CoVID-19-Krankheit? Nicht zuletzt bekam die App viel Zulauf, nachdem sukzessive mehr Leute im Rahmen präventiver Maßnahmen von Zuhause arbeiten sollten und ein Kommunikationsmedium benötigten.

Zoom-App umgeht Apples Sicherheitsmechanismen

Normalerweise müssen Nutzer bei der Installation von Software, die nicht aus dem Mac App Store stammt, zwischendrin noch bestätigen, dass sie die App wirklich installieren wollen. Bei Zoom kommt man allerdings mit deutlich weniger Klicks aus.

Ever wondered how the @zoom_us macOS installer does it’s job without you ever clicking install? Turns out they (ab)use preinstallation scripts, manually unpack the app using a bundled 7zip and install it to /Applications if the current user is in the admin group (no root needed). pic.twitter.com/qgQ1XdU11M — Felix (@c1truz_) March 30, 2020

Der Bochumer Felix deckte nun auf, dass die Software Apples Sicherheitsmechanismen umgeht. Sie nutzt Präinstallationsscripte auf eine Weise, wie sie nicht genutzt werden sollen. Dann zeigt die App ein Programmfenster an, das so aussieht, als sei es ein offizieller Systemdialog, ist es aber gar nicht.

So führt der Installer dann eine Instanz von 7zip aus, die im Installer-Paket enthalten ist. Die Daten entpackt der Installer dann ungefragt in den Programme-Ordner. Das Ganze funktioniert immer dann, wenn der aktive Mac-Nutzer Admin-Rechte hat. Hätte er die nicht, würde der Vorgang scheitern.

Solche Methoden nutzen sonst nur Malware-Apps.

Zoom gaukelt Ende-zu-Ende-Verschlüsselung vor

Besonders tragisch ist allerdings, dass der Anbieter Zugriff auf alle Videokonferenzen haben kann, obwohl er mit einer Ende-zu-Ende-Verschlüsselung wirbt, die das eigentlich unterbinden würde.

The Intercept lässt Matthew Green sozusagen als Zeugen auftreten. Er ist Kryptograph und Professor an der Johns Hopkins Universität. Dieser gibt an, dass Zoom tatsächlich nur eine „Transport“-Verschlüsselung verwendet. Auf diese Weise kann der Anbieter, wenn er wollte, auf die Daten der Konferenzen zugreifen.

FaceTime bietet echte Ende-zu-Ende-Verschlüsselung

Laut Green seien Ende-zu-Ende-verschlüsselte Gruppen-Videokonferenzen nicht unmöglich, aber durchaus schwer umzusetzen. Als ein positives Beispiel nannte er Apples FaceTime. Denn die Ingenieure Apples hätten FaceTime-Gruppengespräche tatsächlich Ende-zu-Ende-verschlüsselt.

Ähnliche Nachrichten