Berg- und Talfahrt der Videoplattform Zoom
Von Erich Moechel
Kein Tag vergeht, ohne dass neue Schwachstellen, falsche Sicherheitsversprechen oder illegale Massentransfers von Daten der Videoplattform Zoom Schlagzeilen machen. Am Donnerstag präsentierte das kanadische Citizen Lab seine Analyse der von Zoom verwendeten Verschlüsselung. Nicht ganz unerwartet fällt diese Analyse einigermaßen vernichtend aus.
Um das rasante Wachstum an Benutzern zu bewältigen, benützt Zoom fragwürdige, selbstgestrickte Verschlüsselungsmethoden, die behauptete Ende-zu-Ende Verschlüsselung in Gruppen ist schlicht nicht wahr. Dazu ist „Zoom-Bombing“ zum neuen Sport für Trolle geworden, die in Schulstunden oder Meetings plötzlich auftauchen. Der rasant gestiegene Börsenkurs des Unternehmens bildet diese Nachrichten mittlerweile in Zickzacksprüngen ab.
The Motley Fool
Falsche technische Angaben von Zoom
Die Hacker Community stellt ihre Kommunikationstools zu Verfügung. Vom einfachen „Schwarzen Brett“ bis zur Videokonferenz sind diese freien Tools alle selbsterklärend, intuitiv zu bedienen und sicher verschlüsselt
Zuletzt musste der CEO des Börsenüberfliegers Eric Yuan persönlich ausrücken und eingestehen, dass Zoom mit „Ende-zu-Ende-Verschlüsselung“ etwas anderes meint, nämlich „Transportverschlüsselung“. Das bedeutet, die Videostreams liegen im Netz von Zoom unverschlüsselt vor, denn Zoom generiert ja auch die temporären Schlüssel für jede Sitzung. Die Beteuerungen Zooms, dass die Sitzungen durch ein kompliziertes internes Regelwerk vor jeder Art von Zugriff geschützt seien, sind wenig wert. Hier ist die klassische „Man-In-the-Middle“-Situation gegeben.
Die Überschrift der Analyse des Citizen Lab „Move fast and roll your own crypto“ bringt das gesamte Zoom-Dilemma bereits auf den Punkt. Statt eigener Schlüssel für jeden einzelnen Benutzer wird für Videokonferenzen ein gemeinsamer Sitzungsschlüssel generiert, den Zoom vergibt. Dieser Schlüssel ist nicht die 256-Bit-Version des sicheren AES-Algorithmus, sondern nur eine 128-Bit-Variante, die um Zehnerpotenzen schwächer ist. Obendrein wird keiner der empfohlenen Modi zur Verschlüsselung verwendet, sondern „Electronic Code Book Mode“ (ECB), der für Blockchiffren als höchst unsicher gilt, wenn mehr als ein Block verschlüsselt werden soll.
Citizen Lab
Daten für Facebook, Links für Trolle
ECB wurde von Zoom deshalb gewählt, weil es der mithin schnellste Modus ist. Anders wäre der explosive Zuwachs an Benutzern - seit Jahresanfang mindestens 600 Prozent - auch unmöglich zu bewältigen. Zoom hat also über die technische Qualität seiner Services ganz offen falsche Angaben gemacht und mit der Datenweitergabe an andere Kommerzdienste ist man ebenso verfahren. Mitte März hatten Sicherheitsforscher massive, verdeckte Datenweitergaben an Facebook aufgespürt, bei Zoom gab man sich von der eigene Daten-Policy überrascht und drehte die Datenweitergabe schleunigst ab. Wie die meisten kommerziellen Websites ist auch Zoom schwer mit Tracking-Mechanismen und „Click-Bait“-Werbung durchseucht.
Public Domain / CC0
Das bedeutet nun nicht, dass man die freie Version von Zoom prinzipiell nicht nutzen sollte. Für den Remote-Betrieb von Schulunterricht ist Zoom aber definitiv nur in der höchsten Sicherheitsstufe nutzbar und da auch nur sehr bedingt. Das absolut praktische Feature, einen neuen Videochat zu eröffnen, den Link an alle Teilnehmer per E-Mail zu versenden und - ohne Passwörter zu vergeben - sofort zu starten, verbietet sich von selbst. Wie links im Screenshot zu sehen ist, wird für jede Videositzung eine 9 bis 11-stellige Zahl vergeben, die sich in der URL jedes Videochatrooms findet. Trolle generieren solche Kombinationen automatisch und so lange, bis sie ein Videomeeting ohne Passwortschutz finden und trollen dort die Teilnehmer, wie es eben die Art von Trollen ist.
Zoom
Vorläufiges Fazit
Für die vielen neuen Teleworker, die ihren Job nun remote erledigen, ersetzen Videokonferenzendie gewöhnlichen Meetings.
Was den professionellen Einsatz für geschäftliche Meetings angeht, so hat der Report des Citizenlab ebenfalls schlechte Nachrichten parat. Zoom besitzt zwei Softwarefirmen in China, eine dritte scheint ein Joint-Venture zu sein. Insgesamt sind bei der US-Börsenaufsicht SEC 700 Angestellte in China gemeldet, offenbar ist die gesamte App-Entwicklung dort angesiedelt. Über ebendiese Apps und irgendeinen virtuellen Server in der Cloud von Zoom hält das britische Kabinett seine geheimen Sitzungen ab.
Für Zoom gilt zuvorderst also der Misstrauensgrundsatz wie für jede kommerzielle Anwendung, die selbstgestrickte, proprietäre Kryptographieverfahren nutzt. Dass die Geschäftsführung über die Sicherheit so offen gelogen hat, macht Zoom zum No-Go für sämtliche wichtigen Prozesse in der Wirtschaft, für Behörden oder in der Politik. Sehr wohl läßt sich darüber ein ad-hoc Videochat einer kleinen Gruppe abwickeln, ebenso lässt sich das Portal notgedrungen auch als Fallback-Medium benutzen, wenn wichtige Meetings abgehalten werden müssen, weil die eigene Anwendung für Videokonferenzen gerade streikt. Für Videotelefonate zwischen zwei Teilnehmern ist Zoom hingegen empfehlenswert, denn da dürfte tatsächlich Ende-zu-Ende-Verschlüsselung eingesetzt werden.
Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 05.04.2020