Zoom-videogesprekken lekken nog meer data dan gedacht

. © Zoom
Els Bellens
Els Bellens Technologiejournaliste bij Data News

Zoom, de videoconferencing-app die de voorbije lockdownweken ongekende hoogtes bereikte, stapelt de securityproblemen op. Het zou mailadressen en wachtwoorden van gebruikers lekken, en liegen over zijn versleuteling.

De Zoom-app voor videobellen is plots overal, nu een groot deel van de werkende bevolking thuis achter zijn of haar computer zit. In het Verenigd Koninkrijk wordt ze zelfs gebruikt door de in quarantaine verkerende premier om zijn kabinetsvergaderingen te voeren. De heer Johnson kan zich misschien best extra informeren, want nu er door de extra populariteit meer onderzoek naar de app wordt gevoerd, blijkt Zoom zo lek als een zeef.

Vorige week waarschuwde onder meer de Electronic Frontier Foundation voor mogelijke privacyrisico’s bij het gebruik van de app. Zo zou de organisator van een gesprek kunnen kijken welke andere programma’s er op de computer van zijn mede-thuiswerkers draaien, en kunnen beheerders bijvoorbeeld IP-adres, locatiedata en toestelinformatie krijgen. Een ondertussen aangepaste regel in de privacy policy van het bedrijf zou Zoom bovendien de mogelijkheid geven om gesprekken te analyseren voor marketingdoeleinden. In januari vond Check Point Research dan weer een lek waardoor je meetings van op afstand kon afluisteren en vorig jaar leed de start-up aan een bug waardoor een kwaadwillige van op afstand de webcam kon overnemen. Die werd uiteindelijk gepatcht.

Encryptie

Maar er blijven geraamtes uit de kast vallen. Volgens onderzoek van The Intercept liegt Zoom bijvoorbeeld over zijn beveiligingsmaatregelen. Het bedrijf meldt op zijn website en in een white paper dat de dienst end-to-end encryptie ondersteunt, maar dat zou niet helemaal waar zijn. De dienst die aangeboden wordt, is TLS-encryptie of ‘transport encryption’, en da’s iets anders. Bij end-to-end versleuteling worden de gegevens versleuteld op jouw computer en ontsleuteld bij de geadresseerde. Het bedrijf dat de dienst levert en over wiens servers ze loopt, kan daarbij de berichten niet zien. Dit is het protocol dat bijvoorbeeld berichtendiensten WhatsApp of Signal gebruiken, en het is het soort encryptie dat overheden niet leuk vinden omdat ze zo geen berichten kunnen opvragen bij techbedrijven.

TLS-encryptie is dan weer vergelijkbaar met bijvoorbeeld een https-beveiliging van een website. De website in kwestie weet wel dat je er bent, en kan zien wat je klikt, maar de verbinding tussen jou en de website is wel beveiligd. Bij de transportencryptie van Zoom wordt de verbinding tussen jou en Zoom, en je geadresseerde en Zoom, beveiligd. Maar Zoom zelf kan eventueel wel de gegevens zien terwijl ze over zijn servers loopt, al meldt het bedrijf wel dat het de gegevens niet decrypteert terwijl ze in die Zoom cloud zitten. De reden dat Zoom zijn encryptie ‘end-to-end’ noemt, volgens een woordvoerder in The Intercept, is omdat ze hun eigen servers als ‘end points’ zien. Dat is een bijzonder creatieve manier om met woorden om te gaan, gezien end points over het algemeen de… eindpunten zijn, dus de toestellen van de gebruiker, niet de server van de dienst die daartussen zit.

Mailadressen en wachtwoorden

Volgens een rapport in Vice is het bedrijf ook slordig met mailadressen. Aan de grond hier ligt een functie waarbij mensen met hetzelfde maildomein in een ‘bedrijfsdirectory’ worden gestopt. Vanuit bedrijfsstandpunt is dat handig, want het betekent dat je bijvoorbeeld de profielen van je collega’s uit het bedrijfsdomein kan opzoeken, met hun foto’ en e-mail. Minder handig is dat als het bedrijfsdomein iets is als ‘xs4all.nl’, de mail directory van een van de ISP’s van Nederland. Mensen die op Zoom inloggen met hun persoonlijke mail kunnen in bepaalde gevallen de namen, adressen en eventueel foto’s zien van een reeks andere accounts in dat ‘bedrijfsdomein’, ook al zijn dat de persoonlijke mails van vreemden.

Zoom heeft de domeinnamen die in het Vice artikel aan bod komen ondertussen op zijn blacklist gezet, en geeft aan dat mensen domeinnamen altijd kunnen laten blacklisten. Zo stopt het domeinnamen als gmail.com, hotmail.com en anderen standaard niet in zo’n directory.

Rtlnieuws meldt ondertussen dat de app van Zoom ook je Windows-wachtwoord kan lekken. De app laat je toe links naar websites te delen, maar je kan daarbij ook naar bestanden op je eigen computer linken. Doe je dat, dan zou Windows automatisch de logingegevens doorsturen naar degene die de link krijgt, aldus RTL, waardoor eventuele aanvallers die in handen kunnen krijgen. Zoom heeft nog niet op dit mogelijk lek gereageerd.

Scholen

Een en ander heeft er al toe geleid dat de openbaar aanklager in New York, Laetitia James, een onderzoek is gestart naar Zoom. De aanklager vermoedt dat de start-up niet voorzien is op zijn plotse populariteit en dat het niet de juiste procedures heeft om alles veilig te laten verlopen. Dat is vooral belangrijk, aldus James, omdat Zoom in de VS hier en daar wordt gebruikt voor scholen en digitale lessen, nu kinderen thuis moeten blijven. James maakt zich zorgen over de privacy van die kinderen, en vraagt zich af of Zoom zich wel netjes aan de regels houdt bij het krijgen van alle nodige toestemmingen voor het vergaren van data.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content