Videobellen

Weer problemen voor Zoom: app lekt je Windows-wachtwoord

© Bright

zoom windows app lekt wachtwoord onveilig
1 april 2020 om 07:01
Laatste update: 1 april 2020 om 08:26

De populaire videobeldienst Zoom is weer in opspraak gekomen. Deze keer blijkt de Zoom-app je Windows-wachtwoord te lekken als je op een verkeerd linkje klikt.

Dat ontdekte beveiligingsonderzoeker @_g0dmode, die het lek op Twitter plaatste. Zoom heeft nog niet op het lek gereageerd en het is nog steeds te misbruiken.

Verkeerd linkje 

Zoom laat gebruikers linkjes naar websites met elkaar delen. De linkjes kunnen ook naar bestanden op je computer leiden, waardoor een aanvaller je Windows-wachtwoord kan stelen.

Dat zit zo: zodra je op een linkje drukt dat leidt naar een bestand op je computer, dan stuurt Windows je logingegevens automatisch naar de aanvaller. Het maakt niet uit of het bestand bestaat.

Zo'n gevaarlijk linkje lijkt ook op een normaal linkje: ze zijn beide blauw, onderstreept en klikbaar, maar in plaats van https:// begint dit linkje met \\.

Via dit linkje wordt de rekenmachine-app geopend.

Via zo'n linkje kan een aanvaller je ook een eventueel gevaarlijk programma op je computer laten openen. Als je klikt op de link \\127.0.0.1\C$\windows\system32\calc.exe open je in dit geval de rekenmachine.

Een app als Zoom mag dat soort linkjes naar lokale bestanden op je computer eigenlijk niet tonen, want het vormt een beveiligingsrisico. Daarom is deze functie in veel apps geblokkeerd.

Het wachtwoord dat wordt verstuurd, is nog wel versleuteld. Maar deze versleutelde wachtwoorden zijn te kraken met gratis software. Hoe makkelijker je wachtwoord is, hoe makkelijker deze te kraken is. Zo maak je een veilig wachtwoord.

Wat kun je doen?

Omdat het lek nog niet is gedicht kun je zelf stappen ondernemen om je te beschermen. De stappen hiervoor vind je op techsite Bleeping Computer. Daarnaast kan dit ervoor zorgen dat je niet meer bij de bestanden van andere computers in je netwerk kan.

Voor de meeste Zoom-gebruikers zal het dan ook wachten zijn tot een update. Tot die tijd is het belangrijk om goed te linkjes te checken en niet te drukken op linkjes die beginnen met twee van deze streepjes: \\.

Hier vind je een lijst met alternatieven voor Zoom, waaronder het privacyvriendelijke Jitsi.

De problemen rondom Zoom

Het lek in de Windows-app is het zoveelste probleem waar Zoom mee te kampen heeft. De software wordt ook op een onveilige manier geïnstalleerd, waardoor de app veel meer rechten dan nodig heeft. Als een hacker toegang krijgt tot Zoom kan hij daardoor je computer gemakkelijker hacken. Het was voor Apple zelfs een reden om een update voor MacOS uit te rollen die een kwetsbaarheid in Zoom dichtte. 

Onderzoek naar privacy

Eerder deze week werd bekend dat Zoom stiekem data deelde met Facebook, waarna het bedrijf ermee stopte. Daarnaast is de hoofdaanklager van de staat New York een onderzoek gestart naar Zoom en de privacy van gebruikers.

Videobellen: de etiquette