Videokonferenz-App Hacker bieten Zoom-Schwachstelle für 500.000 Dollar an

Kriminelle versuchen offenbar, ihr Wissen über Sicherheitslücken in der Videochat-App Zoom zu versilbern. Durch eine Schwachstelle sollen einem Bericht zufolge Gespräche abgehört und Computer übernommen werden können.
Die App Zoom ist einfach zu installieren, doch immer wieder gibt es Berichte über Sicherheitsbedenken

Die App Zoom ist einfach zu installieren, doch immer wieder gibt es Berichte über Sicherheitsbedenken

Foto: MATTIA SEDDA/EPA-EFE/Shutterstock

Zwei Sicherheitslücken in der Videochat-App Zoom werden derzeit offenbar auf dem Graumarkt für IT-Sicherheitslücken zum Verkauf angeboten. Eine der Schwachstellen soll es Angreifern ermöglichen, auf dem Computer ihrer Opfer Schadsoftware auszuführen. Damit könnten Zoom-Anrufe und möglicherweise auch weitere private Informationen auf dem Computer ausspioniert werden.

Das berichtet das US-Magazin "Vice" , das sich auf mehrere anonyme Quellen beruft. Das Wissen um die Schwachstelle sei einem der Informanten für 500.000 Dollar angeboten worden. Die angeblich neue Sicherheitslücke soll die Windows-Version von Zoom betreffen. Hacker könnten sie ausnutzen, ohne dass ihre Opfer einen Link anklicken oder einen Anhang öffnen, allerdings müssten sich die Angreifer im selben Zoom-Anruf wie ihre Opfer befinden.

Eine weitere Schwachstelle für die MacOS-Version von Zoom wollen die unbekannten Hacker laut "Vice" ebenfalls verscherbeln. Allerdings sei diese Schwachstelle weniger gefährlich und schwieriger einzusetzen. Schadcode könne hier anders als bei der Windows-Schwachstelle nicht ohne Weiteres aus der Ferne ausgeführt werden.

Bei den Schwachstellen soll es sich um sogenannte Zero-Day-Exploits handeln. Solche Sicherheitslücken sind besonders gravierend, weil sie neu und den Entwicklern des Programms unbekannt sind. Da das betroffene Unternehmen keinen Tag Zeit hat, die Lücke zu schließen, werden diese Schwachstellen als Zero-Days bezeichnet.

Sicherheitslücken sind ein lukrativer Markt

Im Netz gibt es einen florierenden Markt, auf dem das Wissen um solche Schwachstellen gehandelt wird. Zero-Day-Exploits, also Programme, mit denen sich bestimmte Schwachstellen ausnutzen lassen, werden hier für Tausende Euro und manchmal sogar mehrere Millionen Euro verkauft. Der perfekte iPhone-Hack beispielsweise kostete vor zwei Jahren zwei Millionen Dollar. Die Preise für Zero-Day-Exploits sind auch deshalb so hoch, weil der Markt sowohl für kriminelle Hacker als auch für Geheimdienste interessant ist.

Dass für die mutmaßliche Zoom-Schwachstelle trotz der Popularität der App nur ein Preis von 500.000 Dollar verlangt wird, dürfte auch daran liegen, dass die Angreifer sich in dieselbe Videokonferenz wie ihr Opfer einwählen müssen. Für Hacker im Staatsauftrag, die keinerlei Spuren hinterlassen wollen, sei eine solche Schwachstelle weniger wertvoll, erklärte eine Quelle in dem "Vice"-Bericht.

Zoom bestätigte, dass man zusammen mit einem Sicherheitsunternehmen die Informationen über die mutmaßlichen Schwachstellen überprüfe. Ob die angebotenen Zero-Day-Exploits bereits verkauft wurden, ist nicht bekannt. Bei den Quellen von "Vice" handelt es sich um Experten, die sich mit dem Handel mit solchen Schwachstellen auskennen und um einen Zwischenhändler, der entsprechendes Wissen ankauft. Da keine der Quellen auf das Angebot eingegangen ist, konnten sie bisher auch nicht den Code der mutmaßlichen Schwachstellen begutachten.

Zoom-Nutzer können sich vor Angriffen schützen

Die Videochat-App Zoom hat angesichts der Coronakrise enorm an Popularität gewonnen. Gleichzeitig gab es immer wieder Berichte über Schwachstellen und verschiedene Sicherheitsbedenken. Zoom reagierte mit der Ankündigung, ab sofort mit allen Programmierern daran zu arbeiten, Schwachstellen in Sachen Datenschutz und Sicherheit zu beheben.

Erst vor wenigen Tagen wurde bekannt, dass Zugänge für eine halbe Million Zoom-Accounts im Darknet verscherbelt wurden. Da der Aufwand für die Angriffe hoch ist, sind die meisten Schwachstellen allerdings in erster Linie eine Gefahr für Nutzer, die sensible Informationen ihres Unternehmens oder einer Behörde über Zoom besprechen.

Wer für seine Videoanrufe lieber Programme mit besonderen Sicherheitsvorkehrungen nutzen möchte, für den gibt es verschiedene Alternativen. Zoom-Nutzer können ihre Meetings außerdem mit wenigen Handgriffen besser sichern und sich mit der sogenannten Zwei-Faktor-Authentifizierung  vor Account-Diebstahl schützen.

hpp