Zoom ramt af en stribe sikkerheds-problemer: Hackere kan få fat på brugernes Windows-password

Den populære video-tjeneste Zoom har en række problemer, når det gælder sikkerheden. En sårbarhed giver adgang til brugernes passwords mens selskabet ikke har end-to-end kryptering, som brugerne ellers bliver lovet.

Premium Kun for abonnenter
Denne Premium-artikel er normalt kun for abonnenter

Men vi har valgt at låse den op for at give dig et eksempel på den omfattende viden og de artikler, som du har adgang til som Computerworld Premium-abonnent.

Tak, lad mig læse den OK, fortæl mig mere om Premium

Det får du i artiklen

  • Læs hvorfor hackere kan få adgang til Zoom-brugeres Windows-password
  • Hvorfor Zoom tilsyneladende ikke bruger end-to-end kryptering
595
3 min
Corona-pandemien har givet vind i sejlene hos video-tjenesten Zoom. Mens flere lande opfordrer borgerne til at arbejde hjemmefra, er millioner af nye brugere strømmet til Zoom.

Men den populære videokonference-tjeneste har en række udfordringer med den digitale sikkerhed.

På sin egen hjemmeside oplyser Zoom, at tjenesten er end-to-end krypteret. Det betyder, at der ikke er andre end mødedeltagerne, der har adgang til videoerne fra mødet.

Læs også: Zoom banker Microsoft Teams af banen i USA: Brugerne vælter ind

Men ifølge mediet The Intercept er det ikke tilfældet. Dermed er det ikke muligt at have møder på Zoom der er krypteret.

"På nuværende tidspunkt er det ikke muligt at aktivere E2E-kryptering på Zoom videomøder," lyder det fra en talsperson fra selskabet på trods af garantien på Zooms egen hjemmeside.

Dine videomøder på Zoom er dog ikke helt renset for kryptering. Selskabet bruger nemlig TLS-kryptering, der også bliver brugt til at kryptere HTTPS-hjemmesider.

Læs også: Zoom lænser data til Facebook: Sådan danner Facebook brugerprofiler ud fra videokonference-værktøjet

I praksis betyder det, at dine videomøder er krypteret mellem din computer og Zooms egen server.

Zoom mener dog at man lever op til, at videotjenesen er end-to-end krypteret.

"Når vi bruger begrebet 'end to end' i vores eget materiale, så er det en reference til, at forbindelsen mellem Zoom-bruger til Zoom-bruger, og indholdet bliver ikke dekrypteret når det passerer igennem Zoom-skyen," forklarer Zoom.

Sårbarhed giver hackere adgang til dit windows-password
Men problemerne for den populære konferencetjeneste stopper ikke her.

Ifølge flere medier peger to it-sikkerhedseksperter på, at en sårbarhed i Zoom kan give hackere adgang til brugernes Windows-passwords.

Zoom-applikationen til Windows er nemlig ifølge eksperterne sårbare over for en såkaldt UNC path injection. Det betyder, at man kan udnytte chatfunktionen i Zoom til at sende link, der giver adgang til offerets loginoplysninger.

Læs også: Kæmpe digitalt gennembrud for danske patienter: Trifork og danske læger udruller ny it-løsning på rekord-tid

Udover at få Zoom til at levere offerets loginoplysninger, så kan sårbarheden også udnyttes til at starte et hvilket som helst program på offerets computer.

Heller ikke Mac-brugerne går fri fra problemer med Zoom. Apple-mediet iMore skriver, som et af flere medier, at Zooms installations-protokol ser ret lyssky ud.

Som mac-bruger accepterer man, at Zoom benytter preinstallerede scripts, der omgår MacOS Security.

"Det her er ikke direkte malicious, men meget lyssky og efterlader afgjort en bitter eftersmag," lyder det fra en sikkerhedsekspert som mediet citerer.

Zoom er blevet gjort opmærksom på begge sikkerheds-problematikker og har som et svar udgivet en længere blog om nogle af de problemer, selskabet er stødt på.

"Vi har ikke designet produktet ud fra en tanke om, at i løbet af få uger ville alle personer i verden arbejde, studere og socialisere hjemmefra. Vi har nu en meget bredere gruppe af brugere, der anvender vores produkt i en myriade af uventede måder, der giver os udfordringer vi ikke kunne forudsige, da platformen blev undfanget," skriver selskabet blandt andet.

Zoom benytter desuden muligheden for at beklage forvirringen omkring selskabet brug af end-to-end kryptering.


Kunne du lide, hvad du netop har læst?

Artiklen er en del af Computerworld Premium

Med Premium får du adgang til eksklusivt indhold for abonnenter

Se mere Premium indhold

Med Computerworld Premium får du

Øget indsigt i it og digitalisering. Premium klæder dig på til at træffe bedre beslutninger.

Et konkret overblik over it-markedet, nye tendenser samt konkrete råd og erfaringer fra danske beslutningstagere.

Råd og erfaringer fra danske CIO'er, analytikere og it-beslutningstagere. Samlet i 10-15 unikke artikler hver uge.

Eksklusivt Premium-indhold for abonnenter

0 Premium-indhold

Skal du tage en Pro eller ej? Sådan vælger du imellem iPhone 12 og 12 Pro

0 Premium-indhold

Sådan er København Kommunes public cloud-aftale skruet sammen: "Microsoft garanterer, at data forbliver inden for EU"

0 Premium-indhold

Nuldags-sårbarhed i Chrome udnyttes af hackere - andre systemer kan også være ramt

0 Premium-indhold

Efter keynoten: Michael Dell peger på coronaens store fordele: "Digitale femårsplaner er blevet klaret på tre måneder"

0 Premium-indhold

Skattevæsenet vil bruge 167,9 millioner kroner på at holde gamle legacy-systemer i live i 2021


Premium
Skal du tage en Pro eller ej? Sådan vælger du imellem iPhone 12 og 12 Pro
Apples to iPhone-nyheder minder overraskende meget om hinanden. Der er dog væsentlige forskelle, som du skal være opmærksom på, når du vælger.
Computerworld
Det nye MitID er et tigerspring for bedre cybersikkerhed
Klumme: Det nye MitID er en enestående mulighed for et markant løft af it-sikkerheden i danske kommuner. Med baggrund i udfasningen af det nuværende NemID kan de samtidig forbedre og styrke deres it-systemers værn overfor cyberangreb.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Sådan opbevarer du effektivt og sikkert dine data – også med hybrid cloud
Cloud er her der og alle vegne. Men mange organisationer foretrækker en mere blandet tilgang, hvor dele af virksomhedens workload og it-miljøer sendes i clouden, mens andre dele placeres i andre og ofte lokale datacentre. Det stiller ofte mange forskelligartede krav til behovet for lokal storage. Men med IBM FlashSystem kan du konsolidere dit storage-behov og reducere kompleksiteten. Samtidig er FlashSystem all-flash og hybrid-løsninger bygget på et standardiseret sæt af værktøjer og APIs, som giver dig adgang til enterprise-løsninger uanset størrelsen på din organisation. I dette whitepaper fra Atea og IBM kan du læse om IBMs storeløsninger og de yderligere fordele som du kan opnå med dem.