Während der Corona-Pandemie fand die Videokonferenz-Software von Zoom ihren Weg auf viele Macs, PCs, Tablets und Smartphones. Die Installationsroutine von Zoom wird auf dem Mac mit erweiterten Rechten ausgeführt, so dass diese auf viele geschützte Verzeichnisse und Dateien Zugriff hat. Leider steht Zoom nicht im Mac App Store bereit, sondern bringt seine eigene Aktualisierungsfunktion mit – welche ebenfalls erweiterte Rechte benötigt.


Patrick Wardle, ein Sicherheitsforscher und früherer Mitarbeiter der National Security Agency (kurz NSA), präsentierte auf der "Def Con"-Konferenz in Las Vegas am Freitag einen Sicherheitsmangel in der automatischen Aktualisierungsfunktion von Zoom für Mac.

Kryptografie mangelhaft
Jedes Mal, wenn Zoom eine Aktualisierung herunterlädt, wird diese kryptografisch untersucht. Dadurch ist normalerweise sichergestellt, dass diese vom Hersteller stammt und nicht verändert wurde. Leider ist Zoom hierbei anscheinend ein großer Fehler unterlaufen und die kryptografische Verifikation ist unsicher: Stellt der Hacker der Aktualisierungsroutine eine Datei bereit, welche den gleichen Namen wie das Zoom-Zertifikat trägt, umgeht dies komplett die Überprüfung.

Daher ist es Angreifern möglich, Zoom ein Installationspaket unterzujubeln, welches gar nicht von Zoom stammt – sondern möglicherweise von Hackern. Diese könnten Schadsoftware mit Root-Rechten installieren und dadurch den gesamten Mac kompromittieren.

Langsame und fehlerhafte Reaktion
Leider gestaltete sich die Zusammenarbeit mit Zoom nicht einfach: Wardle meldete im Dezember 2021 den Fehler an Zoom – und der Konzern benötigte mehr als ein halbes Jahr, um den schweren Fehler in der Mac-Version zu beheben. Kurz vor Beginn der "Def Con"-Messe gab Zoom ein Update heraus und dies behob zwar den Fehler an sich – doch durch einen neuen Fehler war es immer noch möglich, die Installationsroutine zu täuschen. Dieser Fehler ist in der aktuellen Version von Zoom immer noch vorhanden und Wardle meldete auch diesen Bug an das Unternehmen – samt Dokumentation, wie dieser zu reproduzieren und zu beheben ist.

Zoom gab mittlerweile bekannt, dass man aktuell an einem Fix arbeite – doch der Konzern liefert keine Prognose, wann ein Update für diesen schweren Sicherheitsmangel erscheint. Wardle erhofft sich durch die Veröffentlichung, dass Zoom schneller zukünftige Fehler behebt.

Aktualisierung: Die Veröffentlichung von Wardle hatte offenbar Erfolg – und Zoom veröffentlichte nun eine aktualisierte Version, welche auch den zweiten Sicherheitsmangel in der Aktualisierungsfunktion behebt.