Skip to main content

Zoom kan lekke Windows-passord og hacke webkameraet ditt

(Foto: Shutterstock)

Videokonferansetjenesten Zoom har annonsert at de fryser programvareutviklingen med de fokuserer på å bedre sikkerheten til tjenestene sine, etter at flere store sikkerhetsproblemer har blitt avslørt.

Tjenesten har opplevd en eksplosjon av nye brukere de siste ukene nå som enormt mange jobber hjemmefra, men samtidig har også stadig nye problemer med sikkerheten blitt trukket frem.

I en bloggpost forteller sjef for Zoom, Eric S. Yuan har de hadde 200 millioner daglige brukere i mars, mot 10 millioner daglige brukere i desember.

Denne økningen i antall brukere har imidlertid også ført til økt oppmerksomhet fra både sikkerhetseksperter og cyberkriminelle, og opptil flere bekymringsverdige sikkerhetshull som påvirker både Windows og Mac, har blitt oppdaget.

På Windows-enheter har eksperter funnet ut at det er mulig å utnytte en svakhet i chat-funksjonen til å stjele innloggingsdetaljer. På Twitter melder eksperten som går under navnet @_godmode, at funksjonen i Zoom chat som konverterer URL-er til hyperlenker, også kan gjøre det samme for nettverksadresser med UNC-format. Nå man klikker på de resulterende hyperlenkene kan man få avslørt innloggingsinformasjon.

Eksperten Patrick Wardle har på sin side avslørt to feil som påvirker Zoom på Mac. Den ene av dem lar utenforstående få kontroll over en brukers enhet, noe som gjennom Zooms tilgang til operativsystemet gjør at man kan få tilgang til webkamera og mikrofon.

Den andre svakheten gjør at tredjeparter kan sette inn ondsinnet kode i Zooms installasjonsprogram, noe som gir tilgang til enhetens operativsystem og mulighet for å installere skadevare uten at brukeren merker noe.

Zoom har også blitt kritisert etter at det denne uken ble oppdaget at appen ikke tilbyr ende-til-ende-kryptering, slik det loves på nettsidene. I stedet brukes såkalt Transport-kryptering gjennom TLS-protokollen, noe som i praksis betyr at dataene ikke er tilgjengelig for andre men at de likevel er synlige for Zoom.

(Image credit: Shutterstock.com / Askobol)

Alt dette har altså fått Zoom til å endre kurs, og Yuan sier at selskapet skal fokusere på å bedre sikkerheten og personvernet fremfor å utvikle nye funksjoner.

– Vår plattform ble hovedsakelig bygget med tanke på bedriftsbrukere. I designet ikke produktet med tanke på at folk over hele verden plutselig skulle jobbe, studere og sosialisere hjemmefra. Vi har nå et mye bredere utvalg av folk som bruker produktet vårt på et utall uventede måter, noe som bringer med seg utfordringer vi ikke kunne forutsett da vi laget plattformet.

– I løpet av de neste 90 dagene skal vi dedikere ressursene som må til for å avdekke, håndtere og fikse feil. Vi lover også å være transparente gjennom denne prosessen.

Hele Zooms utvikler-team skal altså jobbe med sikkerhet, og selskapet planlegger også en omfattende gjennomgang av tjenestene sine sammen med uavhengige tredjeparter.

Kilde: Bleeping Computer / CityAM