Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Zoom liet e-mailadressen uitlekken

De veelgebruikte videobelapplicatie Zoom ligt onder vuur vanwege diverse beveiligingsproblemen. Zo liet de app persoonlijke e-mailadressen van gebruikers naar anderen uitlekken en zou het Windows-wachtwoord van gebruikers te onderscheppen zijn.

Zoom liet de e-mailadressen van 'zeker duizenden gebruikers' naar andere gebruikers uitlekken, schrijft Motherboard. Ook de bijbehorende profielfoto zou daarbij zitten. Zoom heeft een ingebouwde functie waarmee gebruikers met dezelfde domeinnaam elkaar gemakkelijk kunnen vinden. Die Company Directory-functie is vooral interessant voor bedrijven waarvan medewerkers de app gebruiken. Motherboard sprak met verschillende Zoom-gebruikers die met hun persoonlijke e-mailadres inlogden. Die werden in een lijst gezet met duizenden andere gebruikers, waarbij het leek alsof ze allemaal voor hetzelfde bedrijf werkten. De gebruikers konden op die manier elkaars accountinformatie zien. Dat gebeurde bij gebruikers die bij Nederlandse e-mailproviders waren aangesloten. Als die bijvoorbeeld een @xs4all.nl-, @dds.nl- of @quicknet.nl-e-mailadres hadden, konden ze alle andere gebruikers met zulke adressen zien. Xs4all zegt op Twitter dat het probleem bij Zoom ligt. Dat bedrijf heeft daar nog niet op gereageerd.

Het is niet het enige probleem waarvan Zoom last heeft. Er zit ook een bug in de app waarmee het mogelijk is het Windows-wachtwoord van een gebruiker te achterhalen door die gebruiker op een link te laten klikken. Een beveiligingsonderzoeker schrijft op Twitter dat Zoom automatisch klikbare links maakt van UNC-paths in Windows. Een aanvaller kan daardoor een link naar een geïnfecteerde server plaatsen. Daar wordt een verbinding naartoe gelegd via het smb-protocol in Windows. Het besturingssysteem stuurt daarbij de loginnaam en het wachtwoord naar de server. Volgens beveiligingsonderzoeker Matthew Hickey is de versleuteling bovendien snel te kraken. Op de melding van dat lek heeft het bedrijf evenmin gereageerd.

Het is niet de eerste keer dat de videobelapp onder vuur ligt. De populariteit van Zoom neemt sinds de coronacrisis flink toe, maar het bedrijf heeft in het verleden meer dan eens beveiligingsincidenten gehad waarop het pas laat reageerde. Vorig jaar bleek bijvoorbeeld dat de app op macOS een lokale server meeïnstalleerde. Die was bovendien slecht beveiligd, waardoor aanvallers met willekeurige gesprekken konden meekijken. Onlangs bleek ook dat de chatapp gebruikmaakte van de Facebook-sdk, en daardoor informatie naar Facebook doorstuurde.

Inmiddels blijkt ook de eind-tot-eindversleuteling die de app belooft, helemaal niet versleuteld te zijn. Het bedrijf schrijft over die versleuteling in een whitepaper (pdf) en in de app zelf. De versleuteling blijkt een simpele tls-encryptie te zijn die alleen geldt voor chatteksten en niet voor videogesprekken. "Als we het hebben over eind-tot-eindencryptie, bedoelen we dat de verbinding tussen twee Zoom-eindpunten versleuteld is", zegt een woordvoerder van het bedrijf tegen The Intercept. 'Zoom-eindpunten' zijn daarbij ook Zoom-servers en niet de apparaten van de gebruikers zelf.

Vanwege alle commotie rondom de app is de procureur-generaal van de staat New York een verkennend onderzoek begonnen tegen de privacy- en beveiligingsprotocollen van het bedrijf.

Door Tijs Hofmans

Redacteur privacy & security

01-04-2020 • 10:23

90 Linkedin

Submitter: daupie

Reacties (90)

Wijzig sortering
Op OSX blijkt Zoom ook een malware-achtige manier te gebruiken om zichzelf te installeren zonder dat de gebruiker daar toestemming voor hoeft te geven. Alles in het kader van "gebruiksvriendelijkheid"...

https://twitter.com/c1truz_/status/1244737672930824193
Dat was mij ook al opgevallen. Vanuit de gebruiker heel handig maar wel shady als je het mij vraagt.
Is het gek van Apple om dit toe te staan?
Helaas heeft Apple hier niet heel veel mee te maken. Het is een vorm van "good practices" die volledig omzeild wordt.

Gebruikers kunnen hun eigen applicaties installeren zonder root toegang (in hun eigen Applicaties map). Normaliter gebeurd dit doormiddel van een installer of een gebruiker die letterlijk de applicatie naar die map sleept. Zoom gebruikt een scriptje om zichzelf in de Applicaties map te gooien en zich daar te "nestelen" als zijnde een geïnstalleerde app. Dit gebeurt ook niet via een App Store oid, maar gewoon door een Zoom invoegtoepassing te starten in je browser, waarna plots een app geïnstalleerd staat.

Zeer shady. Ik heb Zoom dan ook weer verwijderd nadat ik hem "moest" gebruiken.
Hoever kun je dan gaan met scriptjes? En hoe ver zou je als kwaadwillende hier mee komen?
Net zover als dat je gebruikers account rechten heeft. Hetzelfde als onder windows als je een willekeurige executable opstart.
Niet oké, maar Zoom op OSX is daarin dan niet de enige. Allerlei op Chromium / electron gebasseerde apps installeren zichzelf in de appdata map (zelfs microsoft doet dat) zonder het te vragen (misschien wil je een applicatie system-wide installeren ipv 10x (voor elke user apart), maar dat mag dan weer niet.. Volgens microsoft zelf is de appdata map bedoeld voor app specifieke data zoals: spell-check dictionary, a database of clip art, or a log file.
Dat klopt, maar dat verloopt allemaal via een installer. Zoom installeert zichzelf simpelweg de eerste keer als je hem opstart, zonder te vragen of je hem uberhaupt wel wil installeren.

Dit zou hetzelfde zijn als die random app opstarten en dat hij ineens in je start menu staat.
Zoals Discord en Postman dan dus bijvoorbeeld :P Volgens mij gebruiken ze ook beiden de squirrelinstaller die vooral het probleem is in dit geval, maar dat is wel de installatiemethode die door veel electron applicaties toegepast wordt.
Installing is Wizard-Free™, with no UAC dialogs, does not require reboot, and is .NET Framework friendly.
Dus toch... Vorige week wou ik Zoom installeren, terwijl het installatie process werd opgestart bedacht ik me en wou ik het toch maar niet installeren. Werd het toch geïnstalleerd en opgestart. En ik maar denken dat ik verkeerd klikte.
Gezien alle privacy schendende meldingen omtrent Zoom, lijkt het er steeds meer op dat al die "bugs" er helemaal niet per ongeluk, maar doelbewust in de app zijn gezet.
Eigenlijk is de enige goede raad die men kan geven: Dumpen die rommel en stap over naar een andere app.
Er zijn inmiddels volgens mij 101 redenen waarom je dit niet zou moeten willen gebruiken.

Lees ook eens dit artikel op Daring Fireball.
https://daringfireball.net/2020/03/regarding_zoom

Sinds dit uitgebreide artikel zijn er nog weer nieuwe wantoestanden aan het licht gekomen. Deze organisatie deugt niet!
Tussen alle datalekken en rare wegen die ze doorgaan om 'hun manier' af te dwingen in verschillende omgevingen vind ik het erg vreemd dat zoveel scholen en bedrijven nu ineens op Zoom vertrouwen.

Ik heb dit bij mijn vorige werkgever aangekaart na wat eigen onderzoek, maar ook die waren totaal niet geïnteresseerd in alternatieven, zelfs wanneer die ook meer features en een betere gebruikerservaring hebben. Zal vast een (financiële) reden voor zijn, overigens.
Nu heb ik het geluk dat de groep mensen waarmee ik wil video meeten allen beschikken over Facetime. Werkt prima.
En anders zou ik verwachten dat basic Skype ook een oplossing is?
Wellicht kan je eens bij Privacytools.IO kijken voor een goed alternatief.

Persoonlijk wacht ik op video integratie voor de desktop app van Signal (die is er jammer genoeg nog niet).
Oke, dan gaat niemand het meer gebruiken, dat is wat er nu redelijk duidelijk wordt wat de onderzoekers willen, wat zijn dan de alternatieven die net zo goed en simpel te bedienen is en ook nog een gratis voor 1-1 (of max 3) personen?
https://meet.jit.si
Gratis, geen account en open source. :)
Alleen indexeert Google alle calls. Doe een search op "site:http://meet.jit.si" en je kunt aan allerlei random calls deelnemen. Enige oplossing is je call beveiligen met een wachtwoord.
Gister geprobeerd, maar dat werkt een stuk slechter. De gebruikersvriendelijkheid is (veel) beter, maar beeld- en geluidskwaliteit waren slecht. Dat heeft Zoom veel beter voor elkaar.
Geen idee hoe dat kan, maar bij mij is de ervaring dat Jitsi minstens dezelfde kwaliteit aan beeld en geluid biedt. Ik heb Zoom (helaas) een aantal weken gebruikt en de overgang naar Jitsi heeft ons team toch echt als heel prettig ervaren.
Ik heb jitsi nog niet uitgeprobeerd maar de geluidskwaliteit kan naar mijn mening nooit slechter zijn dan van Zoom. Mijn ervaring met Zoom bracht me terug naar het Skype van tien jaar geleden, echt zo slecht geluid heb ik in tijden niet meer gehoord.
Microsoft teams is nu ook gratis te gebruiken en werkt prima. Zoom heeft een aantal extra fun dingen (achtergrond veranderen) en kan meer dan 4 camera's tonen, maar als je dat niet nodig hebt is Teams de betere optie IMO.
Teams word hier binnen het bedrijf ook gebruikt inderdaad. Video bellen werkt prettig. Schermdelen (als je control van de ander overneemt) werkt al iets minder. En met betrekking tot chatten, is het programma totaal nog niet af. Maar voor (video)bellen werkt het prima inderdaad. Al hebben ze de laatste tijd wel af en toe performance dipjes. Niet gek natuurlijk met de toestroom van alle nieuwe gebruikers.
Wat zou je bij het chatten nog graag toegevoegd zien dan? Het remote control vergt nog wel wat verbetering inderdaad. Gebruikers vinden het lastig om het te starten en verliezen vervolgens hun oog op de chat. Tevens kan je niet verder zodra er admin rechten nodig zijn. Heel irritant! Verder voldoet Teams voor ons aan alle verwachtingen.
Bijvoorbeeld het volgende:
  • Je kunt niet reageren op 1 op 1 berichten, dus als iemand jou 3 vragen stelt, zul je alle 3 moeten kopieren in een quote plaatsen en dan je antwoord er onder zetten (Android app werkt dit wel)
  • Misschien wel de belangrijkste, notificatie banners kun je aan of uit zetten. Je kunt niet instellen dat je een popup krijgt zonder naam + bericht. Niet iedereen die langs mij heen loopt hoeft te zien wat iemand mij stuurt
  • Oneindig terugzoeken in berichten. Ja het kan, echter bij grote chats zie je de berichten er niet omheen. Dus als je een vraag terug zoekt, zie je het antwoord niet.
  • Bij grote chats duurt het soms enkele tientallen seconden voordat ik kan typen nadat ik de cursos in de chatbox heb gezet.
  • Je kunt geen afgeschermde channels maken, dan moet je echt een heel nieuw team maken.
  • Je kunt groepen aanmaken in persoonlijke chats, echter als je deze een naam geeft, blijft die naam altijd gebruikt worden. Dus je gaat met zijn 4-en in een groepschat, noemt het Deploy week 18, dan zal de volgende keer als je dezelfde 4 mensen toevoegd de groep automatisch weer Deploy week 18 heten.
  • Algemeen: RAM gebruik is hoog, met uitschieters naar extreem hoog gebruik. Vanochtend gebruikte teams 1.7GB. Hij liep nog op, echter heb ik het process gestopt op dat moment.
Er zijn al veel van deze punten die op uservoice.com staan. Maar het lijkt er op dat ze niet echt prioriteiten stellen aan het geen wat de gebruiker graag ziet.

Vooral het niet kunnen antwoorden en de mogelijkheid om notificaties weer te geven zonder chat informatie mis ik persoonlijk het meest.

Wellicht dat ze meer van dit soort punten gaan ontwikkelen nu ze aangekondigd hebben om meer te gaan doen met Teams in verband met de toestroom van gebruikers.

We gaan het merken.

[Reactie gewijzigd door GQAH op 1 april 2020 11:16]

je kunt toch gewoon een prive channel binnen een Team aanmaken?

https://imgur.com/a/XNJ5FBU

[Reactie gewijzigd door monsieurpinot op 1 april 2020 11:24]

Oh cool, Ik kan zelf binnen de organisatie geen channels aanmaken. Maar heb even in de gratis variant gekeken en inderdaad dit kan nu. Dit lost ook direct het een-na-laatste punt op. Nu kun je gewoon channels daar voor aanmaken. Bedankt voor de heads-up!
graag gedaan (voordeel als je zelf admin bent :))
Haha inderdaad. Ben naar een van onze admin's gelopen en inderdaad, het werkt :-)
De eerste private channel is zojuist gebeuren.

[Reactie gewijzigd door GQAH op 1 april 2020 12:02]

Dat zijn inderdaad goede verbeter punten! Aan die eerste heb ik me ook al regelmatig gestoord.
Als je in de mobiele app op een bericht drukt en ingedrukt houdt krijg je o.a. De antwoord functie voor threading. Schijnbaar is dit in de desktop app niet mogelijk...
En als je gebruik maakt van deze antwoorden dan zullen ze bij het zoeken ook zichtbaar zijn.
Dat klopt helemaal. Maar helaas is dit in de desktop app niet mogelijk. Vraag me niet waarom, maar het is helaas zo.
dan gaat niemand het meer gebruiken, dat is wat er nu redelijk duidelijk wordt wat de onderzoekers willen
Helaas blijkt de grote massa functionaliteiten boven privacy te prefereren, anders was bijv. Facebook al lang failliet.

Ik voel me als Tweaker ook wel bovengemiddeld gemiddeld verantwoordelijk om mensen te wijzen om privacyissues en alternatieven aan te dragen.
wat zijn dan de alternatieven die net zo goed en simpel te bedienen is en ook nog een gratis voor 1-1 (of max 3) personen?
Jitsi (https://jitsi.org/) is multi-platform en FOSS ('open source').
Helaas blijkt de grote massa functionaliteiten boven privacy en gemak te prefereren
Fixed that for you... Als er een alternatief is dat functionaliteit, kwaliteit, gebruiksgemak én goede privacy heeft, dan lijkt me dat het go-to platform, maar de meeste platforms haken toch ergens af in het lijstje grote groepen, iedereen kunnen zien, streamkwaliteit op z'n minst redelijk goed, moderatorfunctie, presenteren, etc. Jitsi heeft, van wat ik lees tot nu toe, niet echt goede kwaliteit. De meeste platforms geven maar een beperkt aantal mensen weer. Of het is niet mogelijk om als host mensen te muten (je weet wel, schreeuwende kinderen, hameren op het toetsenbord). Noem maar op. Zoom tikt de meeste punten af, maar inderdaad niet het privacystuk. Maar de meeste mensen willen functionaliteit en gemak en kiezen daarbij niet bewúst voor géén privacy, zoals jij het laat lijken.

[Reactie gewijzigd door vickypollard op 1 april 2020 11:09]

Ik denk dat mensen inderdaad functionaliteit prefereren boven andere zaken. Als je dit oude bericht terug leest van Skype wordt een fundamentele wijziging in veiligheid/privacy als een gebruikersvoordeel gepromoot. https://tweakers.net/nieu...raten-synchroniseren.html
Natuurlijk heeft het voordelen, maar je levert ook wat stevig in.
https://splash.meet-app.io/ had al gereageerd in een eigen reactie.

(Edit: Ik werk wel voor het bedrijf dat deze software maakt)

[Reactie gewijzigd door Hopman42 op 1 april 2020 12:05]

Skype lijkt me.
Als iemand nog een open-source tegenhanger zoekt (met wel end-to-end-encryptie) is er https://splash.meet-app.io/ van Kopano (Nederlands bedrijf).

[Edit: Ik ben inderdaad QA-Engineer voor Kopano zoals hieronder is vermeld, excuses dat ik dit niet in het oorspronkelijke bericht heb geplaatst.]

[Reactie gewijzigd door Hopman42 op 1 april 2020 11:45]

En hopman42 is zeker QA engineer bij dit bedrijf? Alternatieven aanbieden zou je vanuit een objectieve motivatie moeten doen.
Juist. Dhr. Hopman maakt hier inderdaad reclame voor het bedrijf waar hij voor werkt. Ik ben van mening dat hier hard tegen moet worden opgetreden door Tweakers. Zijn reactie is niet informatief van aard, maar pure propaganda voor zijn bedrijf. Een absolute schande.

https://nl.linkedin.com/pub/dir/Joost/Hopmans
So what? Het is opensource(dat betekend: transparant - en dát is wat mist bij Saas oplossingen als Zoom. Ze doen maar wat, en niemand weet wat precies.) software, en een prima alternatief.
Ik ben inderdaad een QA-engineer, geen marketing-guy, en deel hier de oplossing die ik ook zelf persoonlijk gebruik.

Ik heb mijn post aangepast en vermeld dat ik voor het bedrijf werk, want jullie hebben zeker een punt.
Nou nou, rustig maar.
Het is niet alsof iemand een pistool tegen je hoofd zet en dwingt dit te gebruiken.

Gewoon goed om wat alternatieven te zien, zou netjes zijn als hij aan geeft dat hij er werkt (nu na edit ook gedaan). Verder is het een simpele verwijzing met informatie, geen salespitch.
Ik ben ICTer en verkoop Office 365 oplossingen. Zou ik dat geen Teams mogen adviseren of moet ik er dan bij zetten dat ik dat ook verkoop?
En hoe weet je zo zeker dat hij niet objectief is?
Ik las dat webRTC (nog) geen support voor e2e encryptie heeft, hoe doet kopano dat wel dan?
Is het niet zo dat in het geval van een conference(meer dan twee personen) er sowieso weinig e2e verkeer plaatsvind? Lijkt me sterk dat je je videotraffic rechtstreeks naar een(iedere!) andere client stuurt, en ook nog in een formaat dat de andere client ondersteund. Niet dat het onmogelijk is, maar het kost je a) veel te veel upload bandbreedte en b) teveel resources.
Dat is normaal wat je conference server doet(transcoderen). Geen geschikt concept voor echte e2e encryptie.
Een 1 op 1 videogesprek is een ander verhaal, dan kan het wél "gemakkelijk".

Bij een conference moet je de "hoster" dus vertrouwen. Als het "gevoelig" is, zelf hosten dus.

[Reactie gewijzigd door YoMarK op 1 april 2020 11:29]

Standaard gaan de WebRTC verbindingen peer-to-peer, dus jawel, jouw videotraffic gaat rechtstreeks naar alle andere deelnemers. Dit maakt WebRTC wel een stuk zwaarder maar ook een stuk veiliger.

Wij maken met onze eigen videobel applicatie voor OnsPlatform.tv er ook gebruik van en werkt helemaal prima. Er wordt geen data opgeslagen, alles versleuteld, wij verkopen geen data door, doen überhaupt niks met jouw data en je krijgt er een eigen community platform bij met een berg andere functies. Moet je natuurlijk wel voor betalen, maar privacy is nooit gratis.
Hoe heeft WebRTC het NAT / firewall probleem opgelost?
Mocht er via de benodigde poorten geen verbinding kunnen worden gemaakt dan wordt er gebruik gemaakt van een TURN server, hier meer info daarover: https://stackoverflow.com...turn-end-to-end-encrypted
Kijk eens naar big blue button, open source onder de gpl licentie.
Jammer, want als gebruiker is het echt een prima applicatie.
Totdat jouw data op straat ligt en jouw pc is geïnfecteerd met een berg virussen. Dan is het ineens niet meer zo'n prima applicatie, ondanks dat het nog steeds dezelfde applicatie is.

Tip: Verwijder Zoom van je pc en gebruik het niet meer, het is zo lek als een mandje. Er zijn diverse applicaties die beter en veiliger zijn, bijvoorbeeld het oude vertrouwde Skype en Teams.
Is het erg dat een Chinees bedrijf informatie van jou bedrijf in handen krijgt? Zo niet. Prima te gebruiken, zo ja. Doe het dan niet. Bedrijfs spionage is gewoon alive and kicking hedendaags. Je gaat toch zomaar niet je bedrijfsinformatie bloot leggen als men al simpel liegt op hun website.
Hoe kan een applicatie prima zijn als het grove lekken blijkt te hebben? Hoe kan een applicatie prima zijn als het onderdeel is van een service en de persoonsgegevens van jezelf en anderen onnodig toegankelijk maakt aan een bedrijf en zelfs anderen zonder dat je daar iets aan kan doen?
Jitsie werkt inderdaad erg fijn. Ben nog wel op zoek naar de webinar functie zoals in Zoom zit, heeft iemand daar nog goede OpenSource alternatieven voor?
Ik heb Jitsie net even getest, het ziet er gemakkelijk uit inderdaad. Omdat mijn vrouw Zoom gebruikt(e) voor webinar doeleinden heb ik gezocht naar de mogelijkheden van Jitsie.
Ze noemen het bij Jitsie "Live streaming". Ik heb nog niet getest wat de voor en/of nadelen zijn t.o.z. Zoom.
Ja, maar die optie in Jitsi streamt Youtube Live... ik zoek een optie OpenSource optie waarbij we zelf kunnen streamen danwel niet afhankelijk zijn van Google services.
Zoveel red flags, iemand die weet of dit alleen bij de gratis variant is of ook bij de betaalde variant?
Beide Varianten. Overigens dat unc pad gebeuren was volgens mij al bekend en is vrij eenvoudig te exploiteren. Zelfs binnen je eigen bedrijf kan je met een leuke samba server en plain text authentie wachtwoorden en gebruikersnamen achterhalen. Leuk als je beheerders heb die met een beheeraccount op hun werkstation zijn ingelogged. Ze hoeven niet eens op de link te klikken.
Nog nooit van gehoord, wat zijn de voordelen tov webex/skype of zelfs whatsapp?
Ik gebruik meet.jit.si nog geen berichten gehoord dat het niet veilig is. Geen app nodig voor pc.

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True