De Zoom-app voor videobellen is plots overal en nu er door die extra populariteit meer onderzoek naar de app wordt gevoerd, blijkt Zoom zo lek als een zeef.

Vorige week waarschuwde onder meer de Electronic Frontier Foundation voor mogelijke privacyrisico's bij het gebruik van de app. Zo zou de organisator van een gesprek kunnen kijken welke andere programma's er op de computer van zijn mede-thuiswerkers draaien, en kunnen beheerders bijvoorbeeld IP-adres, locatiedata en toestelinformatie krijgen. Een ondertussen aangepaste regel in de privacy policy van het bedrijf zou Zoom bovendien de mogelijkheid geven om gesprekken te analyseren voor marketingdoeleinden. In januari vond Check Point Research dan weer een lek waardoor je meetings van op afstand kon afluisteren en vorig jaar leed de start-up aan een bug waardoor een kwaadwillige van op afstand de webcam kon overnemen. Die werd uiteindelijk gepatcht.

Maar er blijven geraamtes uit de kast vallen. Volgens onderzoek van The Intercept liegt Zoom bijvoorbeeld over zijn beveiligingsmaatregelen. Het bedrijf meldt op zijn website en in een white paper dat de dienst end-to-end encryptie ondersteunt, maar dat zou niet helemaal waar zijn. De dienst die aangeboden wordt, is TLS-encryptie of 'transport encryption', en da's iets anders.

TLS-encryptie is vergelijkbaar met bijvoorbeeld een https-beveiliging van een website. De website in kwestie weet wel dat je er bent, en kan zien wat je klikt, maar de verbinding tussen jou en de website is wel beveiligd. Bij de transportencryptie van Zoom wordt de verbinding tussen jou en Zoom, en je geadresseerde en Zoom, beveiligd. Maar Zoom zelf kan eventueel wel de gegevens zien terwijl ze over zijn servers loopt, al meldt het bedrijf wel dat het de gegevens niet decrypteert terwijl ze in die Zoom cloud zitten. De reden dat Zoom zijn encryptie 'end-to-end' noemt, volgens een woordvoerder in The Intercept, is omdat ze hun eigen servers als 'end points' zien. Dat is een bijzonder creatieve manier om met woorden om te gaan, gezien end points over het algemeen de... eindpunten zijn, dus de toestellen van de gebruiker, niet de server van de dienst die daartussen zit.

Volgens een rapport in Vice is het bedrijf ook slordig met mailadressen. Aan de grond hier ligt een functie waarbij mensen met hetzelfde maildomein in een 'bedrijfsdirectory' worden gestopt. Vanuit bedrijfsstandpunt is dat handig, want het betekent dat je bijvoorbeeld de profielen van je collega's uit het bedrijfsdomein kan opzoeken, met hun foto' en e-mail. Minder handig is dat als het bedrijfsdomein iets is als 'xs4all.nl', de mail directory van een van de ISP's van Nederland. Mensen die op Zoom inloggen met hun persoonlijke mail kunnen in bepaalde gevallen de namen, adressen en eventueel foto's zien van een reeks andere accounts in dat 'bedrijfsdomein', ook al zijn dat de persoonlijke mails van vreemden.

Zoom heeft de domeinnamen die in het Vice artikel aan bod komen ondertussen op zijn blacklist gezet, en geeft aan dat mensen domeinnamen altijd kunnen laten blacklisten. Zo stopt het domeinnamen als gmail.com, hotmail.com en anderen standaard niet in zo'n directory.

Rtlnieuws meldt ondertussen dat de app van Zoom ook je Windows-wachtwoord kan lekken. De app laat je toe links naar websites te delen, maar je kan daarbij ook naar bestanden op je eigen computer linken. Doe je dat, dan zou Windows automatisch de logingegevens doorsturen naar degene die de link krijgt, aldus RTL, waardoor eventuele aanvallers die in handen kunnen krijgen. Zoom heeft nog niet op dit mogelijk lek gereageerd.

Een en ander heeft er al toe geleid dat de openbaar aanklager in New York, Laetitia James, een onderzoek is gestart naar Zoom, omdat Zoom in de VS hier en daar wordt gebruikt voor scholen en digitale lessen, nu kinderen thuis moeten blijven. James maakt zich zorgen over de privacy van die kinderen, en vraagt zich af of Zoom zich wel netjes aan de regels houdt bij het krijgen van alle nodige toestemmingen voor het vergaren van data.

Alles bij de bron; Knack


 


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha