Geautomatiseerde tool vindt 100 Zoom-id’s voor meetings per uur

Door: Wesley Akkerman - 7 reacties
Zoom Mac 16x9
(Afbeelding: Zoom)

Een geautomatiseerde tool die ontwikkeld is door beveiligingsonderzoekers is in staat zo’n 100 Zoom-id’s voor meetings per uur te vinden. Het programma, genaamd zWarDial, gokt de elf cijfers van een Zoom-meetings automatisch en verzamelt zodoende gegevens over die meetings.

zWarDial kan in veertien procent van de gevallen een legitieme Zoom-meeting ontdekken. In één dag kan het programma bijna 2400 aankomende of terugkerende meetings herkennen. zWarDial heeft op dat moment verschillende soorten data in handen. Denk dan aan de link naar de meeting, de datum en tijd, de organisator en het onderwerp. Dat blijkt uit informatie die gedeeld is door beveiligingsexpert Trent Lo, die de info gedeeld heeft met de website Krebs on Security.

Zoom en privacy: een lange weg te gaan

In januari kwam in het nieuws dat onderzoekers van Check Point Research gezegd hebben dat Zoom een functie geïmplementeerd had die dergelijke praktijken moet voorkomen. Het onderzoeksteam maakte namelijk al eerder dezelfde conclusie. Echter, zWarDial kan de blokkade omzeilen door gebruik te maken van Tor. Dat is een open netwerk voor anonieme communicatie die gebruikmaakt van routing (verkeer via andere plekken laten verlopen dan normaal, zodat moeilijk te achterhalen is waar iets vandaan komt).

zWarDial kan echter geen Zoom-meetings vinden die met een wachtwoord beveiligd zijn. Het bedrijf zegt dat sinds kort alle nieuwe meetings en instant meetings met een wachtwoord beveiligd zijn. Dat het programma dus nog steeds zo veel digitale vergaderingen vindt, kan inhouden dat veel daarvan níet beveiligd zijn met een password. Hoewel de functie standaard geactiveerd is, kunnen gebruikers middels opt-out nog steeds aangeven dat de meeting open is voor iedereen.

Zoom doet nu onderzoek naar het gegeven of gebruikers zelf de functie uitschakelen en hoe ze iedereen zo ver kunnen krijgen wel met wachtwoorden te werken. Mocht je zelf nu een wachtwoorden willen instellen voor je meeting, ga dan naar je Meetings-tab. Klik daar op de Edit-knop en kies voor Require meeting password. Kies een wachtwoorden uit en deel dat alleen met mensen die toegang moeten hebben tot het gesprek. Op mobiele apparaten zijn de stappen gelijk aan de desktopversie.

In de laatste weken is de populariteit van Zoom gigantisch gestegen, doordat veel mensen nu thuiswerken door het coronavirus. Dit is niet de eerste keer dat het programma privacyzorgen opwerkt. De iOS-versie stuurde bijvoorbeeld data door naar Facebook, terwijl er ook geklaagd wordt over de algemene privacystaat van het programma.

Reacties

7 reacties
  • Profielfoto
    Rickje

    Oftwel, een wachtwoord op je meeting zetten en het is wel gewoon veilig?
    .

    Dat je open meetings op basis van de URL kan raden is toch niet zo spannend?

  • Profielfoto
    GuZ

    Stom dat ze niet gewoon een UUID gebruiken als meeting ID; een getal van een paar cijfers is natuurlijk net zo veilig als een telefoon nummer – alleen zoom neemt automatisch op

  • Profielfoto
    TheBigZ

    In de laatste weken is de populariteit van Zoom gigantisch gestegen, doordat veel mensen nu thuiswerken door het coronavirus.

    Zouden er nou echt veel weldenkenden zijn die dat programma gebruiken? Je zou toch inmiddels beter moeten weten.

  • Profielfoto
    csteelooper

    TheBigZ op 4 april 2020 13:36

    In de laatste weken is de populariteit van Zoom gigantisch gestegen, doordat veel mensen nu thuiswerken door het coronavirus.

    Zouden er nou echt veel weldenkenden zijn die dat programma gebruiken? Je zou toch inmiddels beter moeten weten.

    Wat een gechargeerd statement toch weer… Ja, er zijn tienduizenden mensen die er gebruik van maken en nee, het is niet zo erg als je nu doet vermoeden. Natuurlijk moet er een wachtwoord op je Meeting. En je moet enigszins je verstand gebruiken en écht gevoelige informatie niet via Zoom delen. Maar het is niet minder onveilig dan elke andere online vergaderdienst, zoals daar zijn Google Hangiuts en Microsoft Teams. Het enige échte minpunt is dat Zoom wel End-To-End encryptie beloofde, maar dat niet écht bood. Desalniettemin was het allerminst zo dat er géén encryptie was of is. Alleen telde men de Zoom servers mee als endpoint, terwijl de meeste andere diensten (inclusief FaceTime en iMessage) alleen devices van gebruikers meetellen.

    GuZ op 3 april 2020 19:10
    Stom dat ze niet gewoon een UUID gebruiken als meeting ID; een getal van een paar cijfers is natuurlijk net zo veilig als een telefoon nummer – alleen zoom neemt automatisch op

    Nou, dat komt omdat één van de mogelijkheden van Zoom wel érg moeilijk te realiseren is met alfanumerieke ID’s. Je raadt ‘m al: je kunt per telefoon inbellen en deelnemen aan een Meeting. Je belt een specifiek nummert, afhankelijk van je land, en voert met de toetsen van je telefoon je Meeting ID in, alsook een (numerieke versie van) je wachtwoord. Alfanumerieke waardes laten zich nu eenmaal niet invoeren met consumententoestellen. Er zijn wel enkele toestellen die naast cijfertoetsen ook de toetsen A tot en met D hebben (die hebben hun eigen DTMF-tonen). Maar die heb ik werkelijk nog nooit in een woonhuis gezien…

  • Profielfoto
    Frans

    Een goed (Engelstalig) artikel over de (on)veiligheid van Zoom en hoe je het gebruik zo veilig mogelijk kunt maken vind je hier:

    https://tidbits.com/2020/04/03/every-zoom-security-and-privacy-flaw-so-far-and-what-you-can-do-to-protect-yourself/

    Persoonlijk houdt ik me voorlopig verre van Zoom. Zoals een van de reacties meldt, vertrouwen komt te voet en gaat te paard.

  • Profielfoto
    csteelooper

    Frans op 4 april 2020 16:37
    Een goed (Engelstalig) artikel over de (on)veiligheid van Zoom en hoe je het gebruik zo veilig mogelijk kunt maken vind je hier:

    https://tidbits.com/2020/04/03/every-zoom-security-and-privacy-flaw-so-far-and-what-you-can-do-to-protect-yourself/

    Persoonlijk houdt ik me voorlopig verre van Zoom. Zoals een van de reacties meldt, vertrouwen komt te voet en gaat te paard.

    Die heb ik toevallig net gelezen. De meeste échte kwetsbaarheden zijn inmiddels opgelost en uiteraard moet je bij Zoom, net als bij elke andere service, ook zelf voorzorgsmaatregelen nemen, zoals het instellen van een wachtwoord voor je Meeting.

  • Profielfoto
    TheBigZ

    Frans op 4 april 2020 16:37

    Persoonlijk houdt ik me voorlopig verre van Zoom. Zoals een van de reacties meldt, vertrouwen komt te voet en gaat te paard.

    En zo is het helemaal.