Zoom lekt opnieuw data

02-04-2020 | door: Redactie

Zoom lekt opnieuw data

De videoconferencing-app Zoom bereikt de afgelopen weken dankzij lockdowns een ongekend populariteit. De securityproblemen stapelen zich tegelijkertijd echter op. Zo zou de dienst e-mailadressen en wachtwoorden van gebruikers lekken. Daarnaast zou het bedrijf niet eerlijk communiceren over zijn versleuteling.

De Zoom-app voor videobellen is plots overal, nu een groot deel van de werkende bevolking thuis achter zijn of haar computer zit. In het Verenigd Koninkrijk wordt ze zelfs gebruikt door de in quarantaine verkerende premier om zijn kabinetsvergaderingen te voeren. Dit kan Johnson wellicht beter heroverwegen. Nu er door de extra populariteit meer onderzoek naar de app wordt gedaan blijkt Zoom zo lek als een zeef.

Privacyrisico's

Vorige week waarschuwde onder meer de Electronic Frontier Foundation voor mogelijke privacyrisico's bij het gebruik van de app. Zo zou de organisator van een gesprek kunnen kijken welke andere programma's er op de computer van zijn mede-thuiswerkers draaien, en kunnen beheerders bijvoorbeeld IP-adres, locatiedata en toestelinformatie krijgen.

Een ondertussen aangepaste regel in de privacy policy van het bedrijf zou Zoom bovendien de mogelijkheid geven om gesprekken te analyseren voor marketingdoeleinden. In januari vond Check Point Research dan weer een lek waardoor je meetings van op afstand kon afluisteren en vorig jaar leed de start-up aan een bug waardoor een kwaadwillige op afstand de webcam kon overnemen. Die werd uiteindelijk gepatcht.

Encryptie

Maar er blijven skeletten uit de kast komen. Volgens onderzoek van The Intercept liegt Zoom bijvoorbeeld over zijn beveiligingsmaatregelen. Het bedrijf meldt op zijn website en in een whitepaper dat de dienst end-to-end encryptie ondersteunt, maar dat zou niet helemaal waar zijn. De dienst die aangeboden wordt, is TLS-encryptie of 'transport encryption', en dat is iets anders. Bij end-to-end versleuteling worden de gegevens versleuteld op jouw computer en ontsleuteld bij de geadresseerde. Het bedrijf dat de dienst levert en over wiens servers ze loopt, kan daarbij de berichten niet zien. Dit is het protocol dat bijvoorbeeld berichtendiensten WhatsApp of Signal gebruiken, en het is het soort encryptie dat overheden niet leuk vinden omdat ze zo geen berichten kunnen opvragen bij techbedrijven.

TLS-encryptie is dan weer vergelijkbaar met bijvoorbeeld een https-beveiliging van een website. De website in kwestie weet wel dat je er bent, en kan zien wat je klikt, maar de verbinding tussen jou en de website is wel beveiligd. Bij de transportencryptie van Zoom wordt de verbinding tussen jou en Zoom, en je geadresseerde en Zoom, beveiligd. Maar Zoom zelf kan eventueel wel de gegevens zien terwijl ze over zijn servers loopt, al meldt het bedrijf wel dat het de gegevens niet decrypteert terwijl ze in die Zoom cloud zitten. De reden dat Zoom zijn encryptie 'end-to-end' noemt, volgens een woordvoerder in The Intercept, is omdat ze hun eigen servers als 'end points' zien. Dat is een bijzonder creatieve manier om met woorden om te gaan, gezien end points over het algemeen de... eindpunten zijn. En dus de toestellen van de gebruiker in plaats van de server van de dienst die daartussen zit.

Mailadressen en wachtwoorden

Volgens een rapport in Vice is het bedrijf ook slordig met mailadressen. Aan de grond hier ligt een functie waarbij mensen met hetzelfde maildomein in een 'bedrijfsdirectory' worden gestopt. Vanuit bedrijfsstandpunt is dat handig, want het betekent dat je bijvoorbeeld de profielen van je collega's uit het bedrijfsdomein kan opzoeken, met hun foto' en e-mail. Minder handig is dat als het bedrijfsdomein iets is als 'xs4all.nl', de mail directory van één van de ISP's van Nederland. Mensen die op Zoom inloggen met hun persoonlijke mail kunnen in bepaalde gevallen de namen, adressen en eventueel foto's zien van een reeks andere accounts in dat 'bedrijfsdomein', ook al zijn dat de persoonlijke mails van vreemden.

Zoom heeft de domeinnamen die in het Vice artikel aan bod komen ondertussen op zijn blacklist gezet, en geeft aan dat mensen domeinnamen altijd kunnen laten blacklisten. Zo stopt het domeinnamen als gmail.com, hotmail.com en anderen standaard niet in zo'n directory.

RTL Nieuws meldt dat de app van Zoom ook je Windows-wachtwoord kan lekken. De app laat je toe links naar websites te delen, maar je kan daarbij ook naar bestanden op je eigen computer linken. Doe je dat, dan zou Windows automatisch de logingegevens doorsturen naar degene die de link krijgt, aldus RTL, waardoor eventuele aanvallers die in handen kunnen krijgen. Zoom heeft nog niet op dit mogelijk lek gereageerd.

Scholen

De ontdekkingen zijn voor de openbaar aanklager in New York, Laetitia James, aanleiding een onderzoek te starten naar Zoom. De aanklager vermoedt dat de start-up niet voorzien is op zijn plotse populariteit en dat het niet de juiste procedures heeft om alles veilig te laten verlopen. Dat is vooral belangrijk, aldus James, omdat Zoom in de VS hier en daar wordt gebruikt voor scholen en digitale lessen, nu kinderen thuis moeten blijven. James maakt zich zorgen over de privacy van die kinderen, en vraagt zich af of Zoom zich wel netjes aan de regels houdt bij het krijgen van alle nodige toestemmingen voor het vergaren van data.

In samenwerking met Datanews

Terug naar nieuws overzicht
Cloud