Zoom ramt af en stribe sikkerheds-problemer: Hackere kan få fat på brugernes Windows-password

Den populære video-tjeneste Zoom har en række problemer, når det gælder sikkerheden. En sårbarhed giver adgang til brugernes passwords mens selskabet ikke har end-to-end kryptering, som brugerne ellers bliver lovet.

Premium Kun for abonnenter
Denne Premium-artikel er normalt kun for abonnenter

Men vi har valgt at låse den op for at give dig et eksempel på den omfattende viden og de artikler, som du har adgang til som Computerworld Premium-abonnent.

Tak, lad mig læse den OK, fortæl mig mere om Premium

Det får du i artiklen

  • Læs hvorfor hackere kan få adgang til Zoom-brugeres Windows-password
  • Hvorfor Zoom tilsyneladende ikke bruger end-to-end kryptering
595
3 min
Corona-pandemien har givet vind i sejlene hos video-tjenesten Zoom. Mens flere lande opfordrer borgerne til at arbejde hjemmefra, er millioner af nye brugere strømmet til Zoom.

Men den populære videokonference-tjeneste har en række udfordringer med den digitale sikkerhed.

På sin egen hjemmeside oplyser Zoom, at tjenesten er end-to-end krypteret. Det betyder, at der ikke er andre end mødedeltagerne, der har adgang til videoerne fra mødet.

Læs også: Zoom banker Microsoft Teams af banen i USA: Brugerne vælter ind

Men ifølge mediet The Intercept er det ikke tilfældet. Dermed er det ikke muligt at have møder på Zoom der er krypteret.

"På nuværende tidspunkt er det ikke muligt at aktivere E2E-kryptering på Zoom videomøder," lyder det fra en talsperson fra selskabet på trods af garantien på Zooms egen hjemmeside.

Dine videomøder på Zoom er dog ikke helt renset for kryptering. Selskabet bruger nemlig TLS-kryptering, der også bliver brugt til at kryptere HTTPS-hjemmesider.

Læs også: Zoom lænser data til Facebook: Sådan danner Facebook brugerprofiler ud fra videokonference-værktøjet

I praksis betyder det, at dine videomøder er krypteret mellem din computer og Zooms egen server.

Zoom mener dog at man lever op til, at videotjenesen er end-to-end krypteret.

"Når vi bruger begrebet 'end to end' i vores eget materiale, så er det en reference til, at forbindelsen mellem Zoom-bruger til Zoom-bruger, og indholdet bliver ikke dekrypteret når det passerer igennem Zoom-skyen," forklarer Zoom.

Sårbarhed giver hackere adgang til dit windows-password
Men problemerne for den populære konferencetjeneste stopper ikke her.

Ifølge flere medier peger to it-sikkerhedseksperter på, at en sårbarhed i Zoom kan give hackere adgang til brugernes Windows-passwords.

Zoom-applikationen til Windows er nemlig ifølge eksperterne sårbare over for en såkaldt UNC path injection. Det betyder, at man kan udnytte chatfunktionen i Zoom til at sende link, der giver adgang til offerets loginoplysninger.

Læs også: Kæmpe digitalt gennembrud for danske patienter: Trifork og danske læger udruller ny it-løsning på rekord-tid

Udover at få Zoom til at levere offerets loginoplysninger, så kan sårbarheden også udnyttes til at starte et hvilket som helst program på offerets computer.

Heller ikke Mac-brugerne går fri fra problemer med Zoom. Apple-mediet iMore skriver, som et af flere medier, at Zooms installations-protokol ser ret lyssky ud.

Som mac-bruger accepterer man, at Zoom benytter preinstallerede scripts, der omgår MacOS Security.

"Det her er ikke direkte malicious, men meget lyssky og efterlader afgjort en bitter eftersmag," lyder det fra en sikkerhedsekspert som mediet citerer.

Zoom er blevet gjort opmærksom på begge sikkerheds-problematikker og har som et svar udgivet en længere blog om nogle af de problemer, selskabet er stødt på.

"Vi har ikke designet produktet ud fra en tanke om, at i løbet af få uger ville alle personer i verden arbejde, studere og socialisere hjemmefra. Vi har nu en meget bredere gruppe af brugere, der anvender vores produkt i en myriade af uventede måder, der giver os udfordringer vi ikke kunne forudsige, da platformen blev undfanget," skriver selskabet blandt andet.

Zoom benytter desuden muligheden for at beklage forvirringen omkring selskabet brug af end-to-end kryptering.


Kunne du lide, hvad du netop har læst?

Artiklen er en del af Computerworld Premium

Med Premium får du adgang til eksklusivt indhold for abonnenter

Se mere Premium indhold

Med Computerworld Premium får du

Øget indsigt i it og digitalisering. Premium klæder dig på til at træffe bedre beslutninger.

Et konkret overblik over it-markedet, nye tendenser samt konkrete råd og erfaringer fra danske beslutningstagere.

Råd og erfaringer fra danske CIO'er, analytikere og it-beslutningstagere. Samlet i 10-15 unikke artikler hver uge.

Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Eksklusivt Premium-indhold for abonnenter

0 Premium-indhold

Her er forårets mest lovende computere

0 Premium-indhold

Det offentliges it-indkøb er steget med 1,2 milliarder kroner på et år: Så mange penge har det offentlige brugt på it i 2019

0 Premium-indhold

NNIT's DPO trækker sig: Selskabet har slået stillingen op igen

0 Premium-indhold

Corona sætter ekstra pres på konsulenternes timepriser - men priserne kan komme til at stige igen

0 Premium-indhold

Opgaverne vælter ind hos ATP's 700 it-folk: "Vi skal løbe stærkt. Sådan var det også under finanskrisen"


Premium
Her er forårets mest lovende computere
2020 er en lovende årgang, når det gælder bærbare maskiner. Overraskende mange af dem er endda velegnede til de fleksible arbejdspladser, som corona-pandemien dikterer.
CIO
Podcast: Pandoras CIO Peter Cabello afslører sine tre vigtigste mål for digitaliseringen
Podcast, The Digital Edge: Hør Pandoras CIO Peter Cabello Holmberg fortælle om, hvordan et af verdens største smykkefirmaer arbejder med innovation og digitalisering af et traditionel offline salg, og hvordan Pandora udnytter data til at skabe en bedre kundeoplevelse.
Job & Karriere
10 spændende lederstillinger, som er ledige netop nu
Der er stadigvæk mange ledige it-job. Vi har fundet en række spændende lederstillinger, som du kan søge med det samme.
White paper
Når du skal designe, udvikle og implementere dokumenter i Dynamics 365
I dette whitepaper får du et overblik over de forskellige muligheder, der findes, når du skal designe, udvikle og implementere eksterne ERP-dokumenter i Dynamics 365 for Finance and Operations. I dokumentet kan du blandt andet se en sammenligning mellem Lasernet og en række andre løsninger. Bag whitepaperet står Tabellae, der over de seneste ni år har arbejdet med mere end 500 ERP-projekter og som har stor indsigt i Lasernet Output Management-systemet fra Formpipe Software.