Apple greift ein: Sicherheitslücke bei Konferenz-Software Zoom entdeckt

In einem ausführlichen Blogpost auf Medium.com berichtete Sicherheitsforscher Jonathan Leitschuh über eine Sicherheitslücke im Mac-Client der Konferenzsoftware Zoom. Gut vier Millionen Mac-Nutzer könnten von dieser betroffen sein. Aufgrund der Sicherheitslücke sei es Angreifern möglich, Mac-Nutzer zu einem Videochat hinzuzufügen und somit ungewollt deren Kamera einzuschalten. Selbst nach Deinstallation der Software verblieb ein lokaler Webserver – ohne Wissen der Nutzer. Lange reagierte Zoom nicht auf Leitschuhs Fund, erst nach einigem Zögern wurde ein Update bereitgestellt. Doch offenbar ist Apple das Problem jetzt selbst angegangen und hat in einem stillen Update den Webserver entfernt.

Die Sicherheitslücke bedeutete ein Risiko für die Privatsphäre

Ursprünglich sollte der auf dem lokalen System verankerte Webserver es ermöglichen, dass Nutzer eine Einladung zu einem Videochat auch dann ohne weitere Klicks annehmen konnten, wenn Zoom schon gelöscht war. Diese von Zoom als Komfort-Funktion bezeichnete Einstellung bedeutete ein Risiko für die Privatsphäre der vier Millionen Nutzer in 750.000 Firmen, die Zoom nach eigenen Angaben hat.

Scheinbar schätzte Apple die Gefahr als groß genug ein, um eigene Schritte einzuleiten. Das Silent Update spielte sich automatisch auf die Rechner, ohne dass eine Interaktion des Nutzers nötig wäre. Normalerweise müssen Nutzer, welche die automatischen Updates deaktiviert haben, ihre Sicherheitsupdates manuell installieren. Das rigorose Eingreifen Apples lässt darauf schließen, dass das Unternehmen nicht auf das eigene Update der Zoom Software vertraut und davon ausgeht, dass viele Betroffene darüber im Unklaren sind, die Software installiert zu haben. Zudem sei der Aufwand, das Programm erneut zu installieren, nur um dem Webserver auszuschalten, für einige Nutzer vermutlich zu hoch. Trotzdem kann auch dies als Eingriff in die Privatsphäre der Nutzer verstanden werden, schließlich wollen diese selbst entscheiden, wann und was sie updaten.

Apple kämpft mit mehreren Sicherheitslücken

Doch die Zoom Software ist nicht das einzige Sicherheitsproblem, mit dem Apple derzeit zu kämpfen hat. Wie TechCrunch berichtete, deaktivierte Apple kürzlich die Walkie-Talkie App der Apple Watch, da diese es möglich machte, Gespräche an einem iPhone unerlaubt mitzuhören. Noch gäbe es keinen Fix für die Sicherheitslücke, die App bleibt vorerst deaktiviert und außer Funktion, bis ein Update zur Verfügung gestellt werden kann. Apple entschuldigt sich bei allen Nutzern für die Unannehmlichkeiten und gibt an, dass zunächst kein Grund zu der Annahme besteht, dass die Funktion bereits missbraucht worden sein könnte.