TÜBINGEN. Die »Pentest Experts« von Syss in Tübingen haben ein Sicherheitsproblem in der Screen Sharing-Funktion der Videokonferenzsoftware Zoom demonstriert.
Nach Angaben des Unternehmens wurde das Problem vom IT-Sicherheitsexperten Michael Strametz Ende letzten Jahres gefunden. Dazu schreibt Syss: "Zoom ermöglicht es Benutzern, Inhalte ihres Bildschirms mit anderen Meeting-Teilnehmern zu teilen. Dabei kann der gesamte Bildschirm, ein oder mehrere Anwendungsfenster oder nur ein ausgewählter Bildschirmbereich zum Teilen ausgewählt werden.
Die Screen Sharing-Funktionalität von Zoom besitzt dabei einen Fehler, der unter gewissen Voraussetzungen kurzzeitig auch Bildschirminhalte, die nicht freigegeben wurden, per Videostream an alle Meeting-Teilnehmer überträgt. Dieses Problem tritt zuverlässig reproduzierbar beim Teilen eines Anwendungsfensters auf, das entweder beim Öffnen (unter Windows) oder beim Schließen (unter Linux) einer weiteren, nicht geteilten Anwendung mit dessen Anwendungsfenster überlagert wird. Die Inhalte des explizit nicht geteilten Anwendungsfensters können dabei für einen kurzen Moment (wenige Einzelbilder, Frames) im Videostream wahrgenommen werden.
Falls ein Meeting-Teilnehmer das entsprechende Zoom-Meeting unter Verwendung einer Screen Recorder-Software aufzeichnet, hat er so später möglicherweise Zugriff auf sensible Daten anderer Benutzer, auch wenn diese nur in wenigen Frames sichtbar waren. Abhängig von den unbeabsichtigt geteilten Daten stellt diese kurze Übermittlung von Bildschirminhalten ein mehr oder weniger großes Sicherheitsproblem dar." (pr)