Onveilige wachtwoorden en zwakke encryptie: wat speelt er rond Zoom?

De populaire videobelapp Zoom ligt sinds een paar dagen onder vuur vanwege meerdere privacyproblemen. Zo zijn wachtwoorden niet goed beveiligd, kunnen gebruikers elkaars accountinformatie inzien en werkt de encryptie niet goed. Kun je Zoom nog wel zorgeloos gebruiken?

Zoom kwam vorige week onder een vergrootglas te liggen nadat Motherboard ontdekte dat de app gebruikersdata naar Facebook verzond, ook als gebruikers geen Facebook-account hebben.

Een dag later maakte Zoom bekend te stoppen met het delen van deze data met Facebook. Maar in de dagen die volgden, stapelden de privacyproblemen zich op.

Lekt persoonlijke informatie
Zoom lekt persoonlijke informatie van ten minste duizenden gebruikers, inclusief hun e-mailadres en foto, en geeft vreemden de mogelijkheid om een videogesprek met hen te starten, schreef Motherboard dinsdag.

Zoom voegt automatisch mensen toe aan de lijst met contacten van een gebruiker als ze zich hebben aangemeld met een e-mailadres dat hetzelfde domein deelt; de app denkt dat deze mensen bij hetzelfde bedrijf werken.

Maar Zoom heeft hierdoor ook meerdere gebruikers die zich hebben aangemeld met persoonlijke e-mailadressen samengevoegd met duizenden andere mensen. De gebruikers konden zo elkaars accountinformatie zien. Dit gebeurde ook bij Nederlanders die bijvoorbeeld een e-mailadres hebben dat eindigt op @xs4all.nl.

Zoom heeft nog niet op de bevindingen van Motherboard gereageerd.

Wachtwoorden van gebruikers niet goed beveiligd
Zoom bevat ook een beveiligingslek, waardoor het voor kwaadwillenden mogelijk is het wachtwoord van gebruikers te achterhalen, schreef BleepingComputer dinsdag na een tweet van beveiligingsonderzoeker @_g0dmode.

Gebruikers kunnen in chatberichten URL's van websites met elkaar delen. Door op de links te klikken komen ze uit bij de website in kwestie. Het probleem is dat gebruikers in Zoom ook klikbare links kunnen plaatsen die leiden naar bestanden op de computer van de gebruiker. Daardoor kan een kwaadwillende het Windows-wachtwoord stelen van de gebruiker die op de link klikt.

Zodra een gebruiker op een link klikt die naar een bestand op de computer leidt, stuurt Windows de inloggegevens automatisch door naar de kwaadwillende. Het wachtwoord is wel versleuteld, maar volgens de beveiligingsonderzoeker makkelijk te kraken.

Daarnaast ontdekte een andere beveiligingsonderzoeker, Patrick Wardle, woensdag twee nieuwe bugs die gebruikt kunnen worden om de Mac van een Zoom-gebruiker over te nemen. Door de bugs te exploiteren zou een kwaadwillende de webcam en microfoon aan kunnen zetten zonder toestemming van de gebruiker.

Zoom heeft ook hierop nog niet gereageerd. De bugs zijn nog niet door het bedrijf gerepareerd.

Zwakkere encryptie dan wordt beweerd
Zoom schrijft op zijn website dat end-to-endencryptie wordt toegepast op de videogesprekken. Dit is een sterke vorm van versleuteling waarin een bericht - of in dit geval een videogesprek - van het begin- tot het eindpunt versleuteld is. Het is dus direct versleuteld vanaf de apparaten van de Zoom-gebruikers die met elkaar videobellen. Zoom zou het videogesprek hierbij niet in kunnen zien. Maar uit onderzoek van The Intercept bleek dinsdag dat dit bij Zoom niet het geval is.

De videogesprekken van Zoom zijn wel voor derden versleuteld, maar Zoom zelf heeft wel toegang tot de niet-versleutelde video- en audiocontent van de videogesprekken. Anders dan Zoom op de website aangeeft.

Zoom ontkent dat gebruikers worden misleid. "Wanneer we de uitdrukking 'end-to-end' gebruiken, verwijst dit naar de verbinding die wordt versleuteld van Zoom-eindpunt naar Zoom-eindpunt", vertelde het bedrijf aan The Intercept. Deze eindpunten zijn daarbij de servers van Zoom, en niet de apparaten van de gebruikers zelf.

AchtergrondZie ook: WhatsApp versleutelt mijn appjes, maar wat betekent dat precies?