Zoom blijft aan populariteit winnen tijdens de coronapandemie en rondt de kaap van 300 miljoen dagelijkse gebruikers, terwijl een nieuwe kwetsbaarheid in de videoconferencingsoftware opduikt.
Nu mensen wereldwijd aan huis gekluisterd zijn als gevolg van de lockdown-maatregelen, is video voor velen de voornaamste methode om te communiceren met collega’s, familie en vrienden. Zoom is daarbij één van de populairdere tools. De app klom al in maart naar de top van de lijst in zowel de Apple App Store als de Google Play Store, en blijft daar tot op vandaag staan.
In de afgelopen maand kreeg de videoconferencingtool er 100 miljoen dagelijkse gebruikers bij, wat het totaal nu op meer dan 300 miljoen brengt. Dat maakte Zoom-CEO Eric Yuan bekend tijdens een webinar eerder deze week. “We zijn verheugd en vereerd om het vertrouwen van zoveel bedrijven, ziekenhuizen, leraren en klanten over de hele wereld te blijven winnen”, vertelt de CEO.
Opnieuw vertrouwen winnen
Je kan je evenwel de vraag stellen in hoeverre dat vertrouwen op zijn plaats is. Samen met de plotse populariteit van Zoom, doken ook enkele privacy- en securityproblemen op als gevolg van zwakke standaardinstellingen en een onduidelijk privacybeleid. Verschillende bedrijven, waaronder SpaceX, NASA en Google verboden zelfs het gebruik van Zoom voor al hun werknemers.
Het bedrijf schakelde gelukkig snel en kondigde een feature freeze van 90 dagen aan, om zijn aandacht eerst te richten op het verbeteren van security en privacy. Er werden nieuwe, verbeterde privacymaatregelen ingevoerd en deze week werd Zoom 5.0 gelanceerd met verbeterde encryptie en andere securityverbeteringen.
Lees ook: De privacyproblemen achter Zoom, Slack en Hangouts
Nieuwe kwetsbaarheid
Zoom vernieuwde ook zijn bugbountyprogramma, nadat twee bugs opdoken in de Windows- en macOS-versies van de software. Deze week kwam alweer een nieuwe kwetsbaarheid op Windows 10 aan het licht, die een aanvaller toelaat om Zoom-sessies op te nemen en tekstberichten in te kijken, zonder medeweten van deelnemers aan de meeting.
“De trigger is malware die zijn code in een Zoom-proces injecteert zonder enige interactie van de gebruiker en zelfs als de host de deelnemer niet in staat heeft gesteld om op te nemen”, vertelt Daniel Petrillo van Morphisec Technologies, dat het lek heeft ontdekt. “Bij het opnemen op deze manier krijgt geen van de deelnemers een melding dat de sessie wordt opgenomen, terwijl de malware de output volledig controleert.”
Dat laat effectief toe om Zoom-sessies te bespioneren, op voorwaarde dat de aanvaller natuurlijk in de sessie raakt. “Er is een verhoogd risico dat dit gebeurt, vooral wetende dat kwaadwillende actoren Zoom-inloggegevens hebben verzameld en dat er momenteel meer dan 500.000 accounts beschikbaar zijn om te kopen op het dark web“, waarschuwt Petrillo. Hij wijst er bovendien op dat Zoom doorgaans een vertrouwde applicatie is, waardoor spionage langs deze weg vermoedelijk niet onmiddellijk gedetecteerd wordt.