Zoom app lekt gemakkelijk je Windows-wachtwoord

Zoom-onveiligDe populaire videobeldienst Zoom is weer in opspraak gekomen. Deze keer blijkt de Zoom-app je Windows-wachtwoord te lekken als je op een verkeerd linkje klikt. Dat ontdekte beveiligingsonderzoeker @_g0dmode, die het lek op Twitter plaatste. Zoom heeft nog niet op het lek gereageerd en het is nog steeds te misbruiken.

Verkeerd linkje

Zoom laat gebruikers linkjes naar websites met elkaar delen. De linkjes kunnen ook naar bestanden op je computer leiden, waardoor een aanvaller je Windows-wachtwoord kan stelen.

Dat zit zo: zodra je op een linkje drukt dat leidt naar een bestand op je computer, dan stuurt Windows je logingegevens automatisch naar de aanvaller. Het maakt niet uit of het bestand bestaat.

zoom-hackZo’n gevaarlijk linkje lijkt ook op een normaal linkje: ze zijn beide blauw, onderstreept en klikbaar, maar in plaats van https:// begint dit linkje met \\.

Via zo’n linkje kan een aanvaller je ook een eventueel gevaarlijk programma op je computer laten openen. Als je bijvoorbeeld klikt op de link \\127.0.0.1\C$\windows\system32\calc.exe open je in dit geval de rekenmachine.

Een app als Zoom mag dat soort linkjes naar lokale bestanden op je computer eigenlijk niet tonen, want het vormt een beveiligingsrisico. Daarom is deze functie in veel apps geblokkeerd.

Het wachtwoord dat wordt verstuurd, is nog wel versleuteld. Maar deze versleutelde wachtwoorden zijn te kraken met gratis software. Hoe makkelijker je wachtwoord is, hoe makkelijker deze te kraken is.

Wat kun je doen?

Omdat het lek nog niet is gedicht kun je zelf stappen ondernemen om je te beschermen. De stappen hiervoor vind je op techsite Bleeping Computer. Daarnaast kan dit ervoor zorgen dat je niet meer bij de bestanden van andere computers in je netwerk kunt.

Voor de meeste Zoom-gebruikers zal het dan ook wachten zijn tot een update. Tot die tijd is het belangrijk om goed te linkjes te checken en niet te drukken op linkjes die beginnen met twee van deze streepjes: \\.

Een veilig alternatief voor Zoom is Microsoft Teams. Microsoft stelt deze software gratis ter beschikking, in ieder geval tot september 2020. Onze klanten kunnen Microsoft Teams hier aanvragen.

Een ander alternatief is het privacyvriendelijke Jitsi. 

Eerder waarschuwde de FBI al voor Zoom

Bron: RTLnieuws