Zoom ramt af en stribe sikkerheds-problemer: Hackere kan få fat på brugernes Windows-password

Corona-pandemien har givet vind i sejlene hos video-tjenesten Zoom. Mens flere lande opfordrer borgerne til at arbejde hjemmefra, er millioner af nye brugere strømmet til Zoom.

Men den populære videokonference-tjeneste har en række udfordringer med den digitale sikkerhed.

På sin egen hjemmeside oplyser Zoom, at tjenesten er end-to-end krypteret. Det betyder, at der ikke er andre end mødedeltagerne, der har adgang til videoerne fra mødet.

Læs også: Zoom banker Microsoft Teams af banen i USA: Brugerne vælter ind

Men ifølge mediet The Intercept er det ikke tilfældet. Dermed er det ikke muligt at have møder på Zoom der er krypteret.

"På nuværende tidspunkt er det ikke muligt at aktivere E2E-kryptering på Zoom videomøder," lyder det fra en talsperson fra selskabet på trods af garantien på Zooms egen hjemmeside.

Dine videomøder på Zoom er dog ikke helt renset for kryptering. Selskabet bruger nemlig TLS-kryptering, der også bliver brugt til at kryptere HTTPS-hjemmesider.

Læs også: Zoom lænser data til Facebook: Sådan danner Facebook brugerprofiler ud fra videokonference-værktøjet

I praksis betyder det, at dine videomøder er krypteret mellem din computer og Zooms egen server.

Zoom mener dog at man lever op til, at videotjenesen er end-to-end krypteret.

"Når vi bruger begrebet 'end to end' i vores eget materiale, så er det en reference til, at forbindelsen mellem Zoom-bruger til Zoom-bruger, og indholdet bliver ikke dekrypteret når det passerer igennem Zoom-skyen," forklarer Zoom.

Sårbarhed giver hackere adgang til dit windows-password
Men problemerne for den populære konferencetjeneste stopper ikke her.

Ifølge flere medier peger to it-sikkerhedseksperter på, at en sårbarhed i Zoom kan give hackere adgang til brugernes Windows-passwords.

Zoom-applikationen til Windows er nemlig ifølge eksperterne sårbare over for en såkaldt UNC path injection. Det betyder, at man kan udnytte chatfunktionen i Zoom til at sende link, der giver adgang til offerets loginoplysninger.

Læs også: Kæmpe digitalt gennembrud for danske patienter: Trifork og danske læger udruller ny it-løsning på rekord-tid

Udover at få Zoom til at levere offerets loginoplysninger, så kan sårbarheden også udnyttes til at starte et hvilket som helst program på offerets computer.

Heller ikke Mac-brugerne går fri fra problemer med Zoom. Apple-mediet iMore skriver, som et af flere medier, at Zooms installations-protokol ser ret lyssky ud.

Som mac-bruger accepterer man, at Zoom benytter preinstallerede scripts, der omgår MacOS Security.

"Det her er ikke direkte malicious, men meget lyssky og efterlader afgjort en bitter eftersmag," lyder det fra en sikkerhedsekspert som mediet citerer.

Zoom er blevet gjort opmærksom på begge sikkerheds-problematikker og har som et svar udgivet en længere blog om nogle af de problemer, selskabet er stødt på.

"Vi har ikke designet produktet ud fra en tanke om, at i løbet af få uger ville alle personer i verden arbejde, studere og socialisere hjemmefra. Vi har nu en meget bredere gruppe af brugere, der anvender vores produkt i en myriade af uventede måder, der giver os udfordringer vi ikke kunne forudsige, da platformen blev undfanget," skriver selskabet blandt andet.

Zoom benytter desuden muligheden for at beklage forvirringen omkring selskabet brug af end-to-end kryptering.