Apple hat ein schwerwiegendes Sicherheitsproblem in der Videochat- und Meeting-App Zoom mit einer stillen Aktualisierung des Betriebssystems behoben. Wie der Konzern gegenüber dem IT-Blog TechCrunch bestätigte, entfernt das Silent Update einen von Zoom auf dem lokalen System verankerten Webserver, der auch nach einer Deinstallation der App auf dem Rechner bleibt. Mit ihm ist es Angreifern möglich, die Kamera des Mac aus der Ferne und vom Nutzer unerwünscht zu aktivieren, was höchst problematische Auswirkungen für die Privatsphäre haben kann.
Doppelt hält besser
Zoom selbst hatte am Mittwochabend ein eigenes Update für seine macOS-Anwendung herausgebracht, die den Webserver löscht; allerdings scheint Apple die Gefahr als so groß eingeschätzt zu haben, dass der Konzern lieber selbst aktiv wurde. Eine Funktion, mit der Signaturupdates für den Systemschutz Gatekeeper eingespielt werden, lässt sich von Apple auch dazu verwenden, sicherheitsrelevante Aktualisierungen auf den Mac zu bringen. Dies geschieht laut Apple ohne Nutzerinteraktion und automatisch. Der Konzern wendet die Funktion allerdings nur in sehr seltenen Fällen an; regulär müssen Nutzer Sicherheitsupdate von Hand installieren, wenn sie die automatische Update-Funktion in den Systemeinstellungen nicht aktiviert haben.
Der Sicherheitsexperte Jonathan Leitschuh hatte am Montag das Problem in Zoom offengelegt, nachdem er es dem Videochat-Anbieter gegenüber vor Monaten mitgeteilt hatte. "Jede Website konnte einen Nutzer dazu zwingen, an einem Zoom-Anruf teilzunehmen und die Kamera zu aktivieren, ohne dass er dem zustimmen muss", beschrieb er das Problem. Einen Proof-of-Concept veröffentlichte er ebenfalls.
Mit Apple "zusammengearbeitet"
Zoom hatte zunächst den Einsatz eines lokalen Webservers verteidigt, weil dieser die Neuinstallation vereinfachen soll. Dann entschied sich das Unternehmen, eine neue Client-Version für macOS zu publizieren, die den Server killt. Apple reichte das laut eigenen Angaben nicht. Mit dem Silent Update schütze man nun frühere und aktuelle Nutzer vor der undokumentierten Webserver-Lücke, so das Unternehmen gegenüber TechCrunch.
Die Funktionen der Zoom-App werden dadurch nicht gestört. Videochats werden nun nicht mehr automatisch gestartet. Laut Angaben von Zoom hat die Firma mit Apple beim Testen ihrer eigenen Aktualisierung "zusammengearbeitet". Zoom soll laut eigenen Angaben vier Millionen Nutzer in 750.000 Firmen haben. Das Werkzeug ist in den USA besonders beliebt und macht Ciscos WebEx Konkurrenz.
Quelle: Ungewollte Kameraaktivierung: Apple stopft schwere Lücke in "Zoom" mit Silent Update | heise online
Update 17.06.2019
Neues Silent-Update behebt Videoschnüffelei unter macOS
Nach Zoom hat Apple nun auch bei den weiterhin angreifbaren Partner-Apps von RingCentral und Zhumu den Webserver deaktiviert – automatisch.
Eine zweite Lücke in bekannten Videoconferencing-Apps unter macOS ist von Apple ohne Zutun der Nutzer geschlossen worden. Das Problem steckte neben Zoom nämlich auch in dessen Partner-Apps von RingCentral und Zhumu – und blieb dort zunächst ungepatcht.
Kamera unerwünscht einschaltbar
Sicherheitsforscher hatten festgestellt, dass es möglich war, selbst bei deinstallierten Zoom-Apps über eine manipulierte Website die Kamera des Benutzers zu aktivieren und ihn dadurch zu belauschen. Die simple Wiederinstallation war möglich, weil Zoom einen Webserver auf dem Mac einspielte, diesen aber nicht wieder entfernte. Apples erstes Silent Update aus der vergangenen Woche löschte diesen im Fall von Zoom; nun geschah dies auch bei RingCentral und Zhumu.
User merken von dem Patch nichts. Er wird automatisch heruntergeladen und ausgeführt, solange RingCentral und Zhumu auf dem Rechner vorhanden sind. Apple teilte gegenüber dem IT-Blog The Verge mit, dass man das Silent Update durchgeführt habe, um Software zu entfernen, mit der sich RingCentral und Zhumu automatisch installieren ließen. Beide Programme nutzen Technik von Zoom – sie sind White-Label-Lösungen, bei denen der User nicht weiß, woher ihr Code eigentlich stammt.
Zoom verteidigte sich
Zoom hatte die Installation des Webservers anfangs verteidigt, weil man damit einen "Workaround" erzielt habe, der eine schnelle "one-click"-Lösung zum Start von Meetings im Browser Safari 12 erlaube. Ohne diesen sei die Nutzererfahrung "mies". Warum der Webserver auch nach der Deinstallation noch vorhanden blieb, konnte Zoom hingegen schlechter erklären – offenbar erhoffte sich das Unternehmen schnellere Reinstalls. Die App konnte sich zudem ohne Zutun des Users updaten.
Zoom selbst hatte erst kürzlich einen Patch für seine eigene App ausgespielt, die den Webserver nicht mehr erhalten soll. Das Videokonferenz-System ist insbesondere in den Vereinigten Staaten beliebt und konkurriert direkt mit Programmen wie Ciscos WebEx. RingCentral soll von rund 350.000 User verwendet werden, während Zhumu als chinesische Version von Zoom gilt.
Quelle: Neues Silent-Update behebt Videoschnüffelei unter macOS | heise online