Zoom installierte sich bei Mac Usern ohne deren Einverständnis

Das Videokonferenz-Tool Zoom hatte keine leichte Woche. Erst wurde entdeckt, dass die Daten von Zoom Usern ohne ihr Wissen an Facebook weitergegeben wurden, dann kam heraus, dass die Gespräche über den Videochat gar nicht Ende-zu-Ende-verschlüsselt seien wie vom Unternehmen angegeben. Jetzt kam weitere Kritik zum Installationsvorgang sowie einer LinkedIn-Verknüpfung auf.

Ever wondered how the @zoom_us macOS installer does it’s job without you ever clicking install? Turns out they (ab)use preinstallation scripts, manually unpack the app using a bundled 7zip and install it to /Applications if the current user is in the admin group (no root needed). pic.twitter.com/qgQ1XdU11M

— Felix (@c1truz_) March 30, 2020

Zoom reagiert schnell auf Sicherheitsprobleme

Anfang der Woche fand Sicherheitsforscher Felix Seele heraus, dass sich Zoom in der Mac-Variante des Tools bereits installierte, bevor die User ihre Zustimmung hierzu erteilt hatten. Zooms CEO Eric S. Yuan antwortete ihm direkt über Twitter und versprach eine baldige Lösung. Nur zwei Tage später erschien tatsächlich das entsprechende Update.

I must say that I am impressed. I expected them to maybe change the dialog, but since the ‘zero-click’ aspect was so important to them, I thought they would stick with the preinstall-trick,

erklärt Seele The Verge gegenüber. Zudem sollen neue Feature Updates für 90 Tage pausiert werden, um auch die anderen aufgekommenen Sicherheitsfehler zu beheben – wie beispielsweise die Fehlfunktion, die die New York Times entdeckte. Diese berichtete kürzlich, dass Zooms Software beim Einwählen in ein Meeting die Namen und E-Mail-Adressen der User automatisch über ein Unternehmenssystem mit LinkedIn-Profilen abglich. Dies passierte auch, wenn keine Name oder ein falscher angegeben wurde. Der Times gegenüber gab Zoom an, das Feature so schnell wie möglich aus dem Code zu löschen.

Zoom installierte sich ohne vorherige Zustimmung