Suchen

Sichere Webkonferenzen Check Point und Zoom schließen gemeinsam Lücken

| Autor: Ann-Marie Struck

Das IT-Security-Unternehmen Check Point arbeitet mit Zoom, einem Anbieter von Videokonferenz-Lösungen zusammen, um das Risiko der anpassbaren Vanity-URLs-Funktion zu verringern. Hacker können dabei Meeting-ID-Links manipulieren und für Phishing-Zwecke nutzen.

Firmen zum Thema

Sicherheitslücken bei Videokonferenzen können erhebliche Schäden für Unternehmen hervorrufen.
Sicherheitslücken bei Videokonferenzen können erhebliche Schäden für Unternehmen hervorrufen.
(Bild: ipopba - stock.adobe.com)

Chats und Videokonferenzen werden durch die Coronakrise immer beliebter. Doch Sicherheitslücken in den Tools ermöglichen Hackern den Zugriff auf sensible Daten. Das US-amerikanische Softwareunternehmen Zoom verzeichnete mit seiner Videokonferenz-App zuletzt nicht nur steigende Nutzerzahlen, sondern stand aufgrund von Datenschutz- und Sicherheitsmängeln in der Kritik. Auf diese wurde mit einem Update reagiert. Jetzt arbeitet der Anbieter erneut mit dem Security-Unternehmen Check Point zusammen, um gemeinsam das Problem einer anpassbaren Vanity-URLs-Funktion zu beheben.

Eine Schwachstelle dabei kann es Hackern ermöglichen, legitim aussehende Zoom-Einladungen zu Geschäftsbesprechungen zu versenden mit dem Ziel, Malware einzuschleusen und heimlich Daten oder Zugangsinformationen von diesem Benutzer zu stehlen. Bereits im Januar haben die beiden Unternehmen kooperiert, um eine andere potenzielle Schwachstelle zu beheben, die es Hackern ermöglicht hatte, ohne Einladung an einem Meeting teilzunehmen.

Mögliche Angriffsszenarien

Das neue Sicherheitsproblem bei Vanity-URLs wurde von Forschern im Anschluss an die Zusammenarbeit Anfang des Jahres festgestellt. Hacker können die Vanity-URL auf zwei Arten manipulieren. Einmal durch eine gezielte Ansprache über direkte Links. Beim Einrichten eines Treffens wird die Einladungs-URL so geändert, dass sie eine Subdomain des Hackers enthält. Ohne spezielle Schulungen tun sich Nutzer schwer solche Einladungen als Fälschungen zu entlarven.

Die andere Möglichkeit sind gezielte Zoom-Webschnittstellen, denn einige Unternehmen verfügen über eigene Konferenz-Schnittstellen. Hacker könnten versuchen, Benutzer so umzuleiten, dass dieser eine Besprechungs-ID in die gefälschte Vanity-URL und nicht in die echte Zoom-Webschnittstelle eingibt. Ohne vorherige Trainings kann die bösartige URL vom Anwender nicht identifiziert werden.

Über beide Methoden könnten Hacker versuchen, sich über die Zoom-Plattform als Mitarbeiter der anvisierten Organisation auszugeben, um sich einen Vektor für den Diebstahl von Zugangsdaten oder sensiblen Informationen zu öffnen.

Check Point und Zoom arbeiteten nun gemeinsam an der Lösung dieser Sicherheits-Probleme. Der US-amerikanische Konzern hat sich eigenen Angaben zufolge der Schwachstellen bereits angenommen und zusätzliche Sicherheitsvorkehrungen getroffen.

(ID:46719908)

Über den Autor

 Ann-Marie Struck

Ann-Marie Struck

Redakteurin