"Zoom-Bombing": Dialer findet 100 Meetings pro Stunde
Archivmeldung vom 04.04.2020
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 04.04.2020 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittDie im COVID-19-Zeitalter boomende Videokonferenz-Lösung Zoom hat ein echtes Problem mit "Zoom-Bombing", dem ungeladenen Hereinplatzen von Trollen in Meetings. Obwohl der Hersteller versichert hat, standardmäßig Chatrooms mit Passwörtern zu schützen, scheint das nicht recht zu greifen. Denn Sicherheitsforscher haben mit "zWarDial" ein Programm entwickelt, das für etwa 100 Konferenzen pro Stunde die Meeting-ID erraten und weitere Infos ausspionieren kann - was allerdings nur klappt, wenn die Meetings nicht passwortgeschützt sind.
Große Passwort-Probleme
Laut Zoom gibt es seit Ende 2019 standardmäßig einen Passwortschutz für Konferenzen mit dem Tool. Doch in den vergangenen Wochen kam es immer öfter zu Zoom-Bombing-Vorfällen, bei denen ungeladene Gäste ein Meeting gestört haben. Das deutet auf Probleme mit dem Passwortschutz hin - entweder haben viele Nutzer die Passwortfunktion deaktiviert oder der Passwortschutz funktioniert aus irgendeinem Grund nicht richtig. zWarDial deute nun darauf hin, das letzteres der Fall ist, berichtet "KrebsOnSecurity".
Das von Sicherheitsforscher Trent Lo und der Gruppe SecKC entwickelte Tool ist nach altmodischen Telefon-Dialern benannt, die mit zufälligen Zahlenfolgen nach Modems suchten. Ähnlich dazu sucht zWarDialer nach Zoom-Meeting-IDs und nutzt Tor, um Zooms Gegenmaßnahmen auszuhebeln. Rund 14 Prozent der ausprobierten zufälligen IDs führen Lo zufolge zu einem offenen Zoom-Meeting - also einem, das trotz angeblich standardmäßig aktiviertem Passwortschutz kein Passwort nutzt. Eine einzelne laufende Kopie des Programms findet so rund 100 Konferenzen pro Stunde. Zwar wählt sich zWarDial nicht direkt in Meetings ein, doch es sammelt Daten zur Konferenz.
Erschreckend viel zu sehen
Die so erspähten Infos umfassen den Direkt-Link für den Beitritt zu einem Meeting, Datum und Uhrzeit der Konferenz sowie den Namen des Organisators und von diesem bereitgestellte Infos zum Thema. Das alles klappt aber nur, wenn kein Passwortschutz zum Einsatz kommt, so Lo. Dennoch hat das Tool Daten zu Meetings unter anderem von Großbanken, großen Consultingfirmen sowie Tech-Unternehmen gefunden. Da gerade letztere wohl nicht allesamt absichtlich den Standard-Passwortschutz abgedreht haben, legt das ein Problem nahe.
Zoom hat gegenüber KrebsOnSecurity auch bestätigt, dass das Unternehmen untersucht, ob der Zugang mit standardmäßig aktiviertem Passwort unter bestimmten Umständen versagt. Jedenfalls hat das Unternehmen nach diversen Zoom-Bombing-Angriffen, bei denen unter anderem Kinder mit Pornos bombardiert wurden, mit fortgesetzt schlechter PR zu kämpfen. Aufgrund der von Lo und SecKC gesammelten Informationen mahnt mittlerweile sogar das Better Business Bureau, der Sicherheit des Tools nicht blind zu vertrauen.
Quelle: www.pressetext.com/Thomas Pichler