Zoom op de Mac

Hoe veilig is Zoom en hoe zit het met privacy?

Opnieuw beveiligingsproblemen ontdekt

Zoom is in korte tijd erg populair geworden. Toch zijn er erg veel vragen over de veiligheid van deze dienst voor videobellen? Kun je Zoom veilig gebruiken en hoe zit het met je privacy? In deze tip proberen we de belangrijkste punten op een rij te zetten.

Hoe veilig is Zoom?

In onze tip over Zoom gebruiken voor vergaderingen en onderwijs hebben we al een waarschuwing opgenomen over privacy. Toch krijgen we op de iCulture-redactie nog steeds vragen of Zoom wel geschikt is om bijvoorbeeld cliëntgegevens uit te wisselen. Het korte antwoord daarop is nee. Zoom is niet de beste oplossing als je privacy en beveiliging belangrijk vindt. Zoom is namelijk niet veilig, want er zijn al diverse beveiligingsproblemen aan het licht gekomen. Er zijn betere oplossingen zoals FaceTime voor privégesprekken en Jitsi voor vergaderingen. In onze gids over apps voor videobellen vind je deze en meer alternatieven. Let op dat grote namen zoals Microsoft en Google ook niet altijd een garantie zijn dat het wel goed zit, want beide bedrijven hebben in het verleden data verzameld en voldeden niet aan de GDPR/AVG.

Lekken van gegevens

In het geval van een paar duizend gebruikers, blijkt Zoom persoonlijke gegevens zoals e-mailadres en foto’s te lekken aan onbekenden. Dat heeft te maken met de functie Company Directory. Deze functie voegt gebruikers die voor het e-mailadres hetzelfde domein gebruiken automatisch toe aan jouw contactenlijst. Stel je logt in met je e-mailadres [email protected], dan worden ook je collega’s met het e-mailaccount @mijnbedrijf.nl toegevoegd aan jouw contactenlijst. Maar door een probleem met deze functie werkte dit ook voor privé e-mailadressen.

Gebruikers kregen daardoor ineens een contactenlijst van duizenden mensen die ze helemaal niet kennen. Dit kan bijvoorbeeld ook gebeuren als je je aanmeldt met een e-mailadres via je provider, zoals een Ziggo e-mailaccount. Op de iCulture-redactie kregen we ook meldingen van gebruikers die ineens duizend contacten had, omdat zij zich hadden aangemeld met hetzelfde domeinnaam. Als er een profielfoto aan het account gebonden is, zag je deze ook direct in je contactenlijst.

In een reactie aan Motherboard laat Zoom weten dat ze nieuwe domeinen toegevoegd hebben aan een zwarte lijst, waardoor gebruikers zich met dit domein registreren niet meer gekoppeld worden. Maar het kwaad is natuurlijk al geschied voor iedereen die zich aangemeld had voordat de domeinen op een aparte lijst stonden.

Windows-wachtwoord lekken

Beveiligingsonderzoeker @_g0dmode deelt op Twitter een ander lek in Zoom. Gebruikers kunnen een link delen die leidt naar een bestand op je computer. Een aanvaller kan bijvoorbeeld een link naar een geïnfecteerde server delen. Zodra je hierop klikt, verstuurt Windows je logingegevens automatisch naar de aanvaller. Op zo’n zelfde manier kan een aanvaller malafide programma’s op je computer installeren.

Geen end-to-end versleuteling

Volgens de makers van Zoom worden de videochats met end-to-end encryptie versleuteld zijn. Dat blijkt echter niet het geval, ontdekte The Intercept. Het is niet zo dat de volledige video van verzender tot ontvanger versleuteld is. In plaats daarvan is alleen het transport tussen verzender en ontvanger beveiligd. Zoom is echter in staat om de videochats te bekijken en de audio te beluisteren.

Volgens The Intercept hanteert Zoom daarbij een eigen definitie van wat ‘end-to-end encryptie’ is. Een woordvoerder van Zoom heeft dit bevestigd, maar zegt dat er niets aan te doen is. “Wanneer we ‘End to End’ gebruiken in teksten, dan bedoelen we de verbinding van het ene Zoom-eindpunt naar het andere Zoom-eindpunt”, aldus de woordvoerder.

Dubieuze Mac-installer

Een ander probleem van Zoom is dat de app op de Mac Apple’s beveiliging omzeilt. Daarbij wordt gebruik gemaakt van pre-installatiescripts. Ook krijg je een neppe macOS-systeemmelding te zien. Op die manier kun je de Mac-app installeren zonder dat je zelf op een installatieknop hebt geklikt. De app wordt op de achtergrond uitgepakt en in de map /Programma’s geïnstalleerd. Dit werkt overigens alleen als de gebruiker admin-rechten op de machine heeft, wat bij de hoofdgebruiker meestal het geval zal zijn.

Technisch malware-onderzoeker @c1truz_ noemt een ‘schimmig’ en vindt dat het een rare nasmaak geeft. “De applicatie wordt geïnstalleerd zonder dat de gebruiker zijn of haar uiteindelijke toestemming geeft en er wordt een misleidend scherm getoond om rootrechten te krijgen.” Hij vervolgt: “Dit zijn dezelfde trucs die door macOS malware worden gebruikt”.

Eerder moest Apple ook al een macOS-update uitbrengen omdat Zoom de beveiliging omzeilde. Daarbij bleek het mogelijk om op afstand de camera van de gebruiker in te schakelen, zonder toestemming. Zoom verdedigde zich toen met de opmerking dat ze videobellen gemakkelijker wilde maken voor gebruikers. Later werd de functie toch verwijderd.

‘Maar iedereen gebruikt het!Je vraagt je misschien af waar om zoveel mensen Zoom momenteel gebruiken. Als het zo populair is, moet het toch wel goed zijn? Zoals wel vaker is het niet altijd de beste oplossing die uiteindelijk door de overgrote meerderheid van de gebruikers wordt gekozen.

Om een ander voorbeeld te geven: er zijn veel mensen die WhatApp zouden willen inruilen voor betere oplossingen zoals Telegram of Signal, maar het domweg niet kunnen. Er zijn WhatsApp-groepen gemaakt rondom familie, buurt en vrienden waar je buiten valt als je WhatsApp weggooit. Ook valt het contact met sommige vrienden opeens weg, omdat zij ervoor gekozen hebben om alleen via WhatsApp bereikbaar te zijn. Op een soortgelijke manier kunnen mensen maar moeilijk afstand doen van Facebook.

Zoom videobellen app.

Zoom is op een soortgelijke manier populair geworden: “iedereen” gebruikt het, dus “het zal wel goed zijn”. Mensen die wat kritischer naar de privacyvoorwaarden hebben gekeken lopen tegen een andere muur aan: je kunt er bijna niet omheen. Zeker als een andere persoon of instantie (bijvoorbeeld jouw werkgever) de keuze al heeft gemaakt om Zoom te gebruiken is het lastig om iedereen over te halen om een veiliger, open source-alternatief met encryptie te gebruiken, waar nog bijna niemand van heeft gehoord.

Waarom is Zoom niet veilig?

Zoom had in maart 2020 te maken met een beveiligingsincident toen bleek dat het ongevraagd gebruikersgegevens met Facebook deelde. Dat is inmiddels opgelost, maar wat gebeurt er met data die al eerder door Zoom is verzameld en doorgestuurd? Gaat Facebook dit verwijderen of gewoon gebruiken? En het privacybeleid van Zoom maakt het nog steeds mogelijk om data te verzamelen.

Zoom was ook al eerder in het nieuws omdat het mogelijk bleek om in te breken op de Mac-camera. Ook dit is opgelost.

De losse incidenten zijn weliswaar opgelost, maar het werkelijke probleem zit iets dieper.

De Electronic Frontier Foundation wijst op verder gaande privacyrisico’s door gebruik van Zoom. De organisatie wil gebruikers waarschuwen dat als de de tool willen gebruiken voor studie en vergaderingen. Zij zien twee grote problemen: de data die Zoom zelf verzamelt en de data die beheerders in handen krijgen. Daarnaast is er nog een derde probleem.

Probleem #1: Zoom verzamelt data

Zoom verzamelt allerlei data van de gebruikers, zoals name, adresgegevens, e-mailadres, telefoonnummer, beroep en werkgever. Ook als je geen account bij Zoom aanmaakt verzamelt het bedrijf gegevens van gebruikers, zoals IP-adres. Log je in met je Facebook-account, dan verzamelt Zoom ook hierover de gegevens. EFF raadt dan ook af om met een Facebook-account in te loggen. Het eerder genoemde probleem van data delen met Facebook is inmiddels opgelost in de iOS-app, maar Zoom kan alsnog data van deelnemers verzamelen. In de privacyvoorwaarden geef je namelijk toestemming voor het verzamelen en opslaan van persoonlijke informatie over de activiteiten. Die informatie mag gedeeld worden met externe partijen.

Probleem #2: Beheerders kunnen meekijken en data inzien

De beheerder van een Zoom-meeting kan tijdens het delen van het scherm de activiteiten van de deelnemers in de gaten houden, zo waarschuwt EFF. Beheerders kunnen zien hoe, wanneer en waar de deelnemers van Zoom gebruik maken. Ook ziet een beheerder apparaatgegevens zoals het merk en type, besturingssysteem, IP-adres en locatiegegevens. Verder kan een beheerder op afstand de microfoon van een deelnemer inschakelen.

Zoom chat.

Een beheerder kan op elk moment deelnemen aan gesprekken die door gebruikers zijn gestart, zonder dat anderen daarvoor toestemming moeten geven of een waarschuwing krijgen. Dit kan bijvoorbeeld een probleem zijn in organisaties, waarbij medewerkers een onderling ‘roddelgroepje’ hebben opgezet. De werkgever of iemand van buiten de groep die beheerder is, kan dan ongemerkt meekijken.

Het feit dat beheerders toegang hebben tot allerlei data kan ook een probleem zijn als medewerkers van meerdere bedrijven onderling met elkaar moeten overleggen. Het ene bedrijf kan dan concurrentiegevoelige data in handen krijgen van het andere bedrijf.

Als je vindt dat EFF misschien te veel een ‘privacy-agenda’ heeft, dan kun je ook bij Consumer Reports soortgelijke zorgen lezen: Zoom is niet veilig.

Daarnaast is er onduidelijkheid in hoeverre Zoom voldoet aan GDPR/AVG. In de betaalde versie zou dat het geval zijn, maar in de gratis versie niet.

Hoe gebruik je Zoom veiliger?

Ben je toch gedwongen om Zoom te gebruiken, bijvoorbeeld omdat jouw werkgever geen andere oplossing biedt, dan zijn er een aantal oplossingen die het gebruik veiliger maken. Toch moet je er dan rekening mee blijven houden dat Zoom nog niet 100% veilig is.

  • Log niet in met je FaceBook-account, maar gebruik de app anoniem.
  • Gebruik Zoom op een apart device, bijvoorbeeld een iPad. Je kunt dan op een ander device je e-mail en andere apps raadplegen, zonder dat de beheerder een melding krijgt dat je bent ‘weggezoomd’.
  • Gebruik een speciaal device, waarop geen privacygevoelige gegevens staan. Schakel functies zoals locatiedelen zoveel mogelijk uit.
  • Deel je Zoom-link niet op sociale media, want dan loop je kans op ‘Zoom-bombing’ door trollen.
  • Stel een ander achtergrondje in, zodat anderen niet je privé-omgeving kunnen zien.
  • Update de Zoom-app: Zoom heeft de remote webserver verwijderd uit de laatste versie van de app, maar dan moet je natuurlijk wel updaten.
  • Gebruik geen Zoom, maar FaceTime, Jitsi of een ander veiliger alternatief. Probeer collega’s ervan te overtuigen om iets anders te gebruiken (voorzover dat lukt).

De makers van ProtonMail hebben nog meer tips over het veiliger gebruiken van Zoom.

Heb je aanvullingen op dit artikel, die een verder gaan dan het aanbevelen van Jitsi dan ontvangen we die natuurlijk graag via de link onder dit artikel!

Verder lezen:

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt april 2020
Categorie Apps
Onderwerpen beveiliging, videobellen