De populaire videobelapp Zoom ligt sinds een paar dagen onder vuur vanwege meerdere privacyproblemen. Zo zijn wachtwoorden niet goed beveiligd, kunnen gebruikers elkaars accountinformatie inzien en werkt de encryptie niet goed. Kun je Zoom nog wel zorgeloos gebruiken?

De Amerikaanse videobeldienst Zoom kwam vorige week onder een vergrootglas te liggen nadat Motherboard ontdekte dat de app gebruikersdata naar Facebook verzond, ook als gebruikers geen Facebook-account hebben.

Een dag later maakte Zoom bekend te stoppen met het delen van deze data met Facebook. Maar in de dagen die volgden, stapelden de privacyproblemen zich op.

Lekt persoonlijke informatie

Zoom lekt persoonlijke informatie van ten minste duizenden gebruikers, inclusief hun e-mailadres en foto, en geeft vreemden de mogelijkheid om een videogesprek met hen te starten, schreef Motherboard dinsdag.

Zoom voegt automatisch mensen toe aan de lijst met contacten van een gebruiker als ze zich hebben aangemeld met een e-mailadres dat hetzelfde domein deelt; de app denkt dat deze mensen bij hetzelfde bedrijf werken.

Maar Zoom heeft hierdoor ook meerdere gebruikers die zich hebben aangemeld met persoonlijke e-mailadressen samengevoegd met duizenden andere mensen. De gebruikers konden zo elkaars accountinformatie zien. Dit gebeurde ook bij Nederlanders die bijvoorbeeld een e-mailadres hebben dat eindigt op @xs4all.nl.

Zoom heeft nog niet op de bevindingen van Motherboard gereageerd.

Wachtwoorden van gebruikers niet goed beveiligd

Zoom bevat ook een beveiligingslek, waardoor het voor kwaadwillenden mogelijk is het wachtwoord van gebruikers te achterhalen, schreef BleepingComputer dinsdag na een tweet van beveiligingsonderzoeker @_g0dmode.

Gebruikers kunnen in chatberichten URL's van websites met elkaar delen. Door op de links te klikken komen ze uit bij de website in kwestie. Het probleem is dat gebruikers in Zoom ook klikbare links kunnen plaatsen die leiden naar bestanden op de computer van de gebruiker. Daardoor kan een kwaadwillende het Windows-wachtwoord stelen van de gebruiker die op de link klikt.

Zodra een gebruiker op een link klikt die naar een bestand op de computer leidt, stuurt Windows de inloggegevens automatisch door naar de kwaadwillende. Het wachtwoord is wel versleuteld, maar volgens de beveiligingsonderzoeker makkelijk te kraken.

Daarnaast ontdekte een andere beveiligingsonderzoeker, Patrick Wardle, woensdag twee nieuwe bugs die gebruikt kunnen worden om de Mac van een Zoom-gebruiker over te nemen. Door de bugs te exploiteren zou een kwaadwillende de webcam en microfoon aan kunnen zetten zonder toestemming van de gebruiker.

Zoom heeft ook hierop nog niet gereageerd. De bugs zijn nog niet door het bedrijf gerepareerd.

Zwakkere encryptie dan wordt beweerd

Zoom schrijft op zijn website dat end-to-endencryptie wordt toegepast op de videogesprekken. Dit is een sterke vorm van versleuteling waarin een bericht - of in dit geval een videogesprek - van het begin- tot het eindpunt versleuteld is. Het is dus direct versleuteld vanaf de apparaten van de Zoom-gebruikers die met elkaar videobellen. Zoom zou het videogesprek hierbij niet in kunnen zien. Maar uit onderzoek van The Intercept bleek dinsdag dat dit bij Zoom niet het geval is.

De videogesprekken van Zoom zijn wel voor derden versleuteld, maar Zoom zelf heeft wel toegang tot de niet-versleutelde video- en audiocontent van de videogesprekken. Anders dan Zoom op de website aangeeft.

Zoom ontkent dat gebruikers worden misleid. "Wanneer we de uitdrukking 'end-to-end' gebruiken, verwijst dit naar de verbinding die wordt versleuteld van Zoom-eindpunt naar Zoom-eindpunt", vertelde het bedrijf aan The Intercept. Deze eindpunten zijn daarbij de servers van Zoom, en niet de apparaten van de gebruikers zelf.

Hoe druk moet je je hierom maken?

Zoom is niet de enige app die het niet zo nauw neemt met privacy, meerdere videobelapps blijken onzorgvuldig met online beveiliging, blijkt uit onderzoek van VPNgids. "Juist de veelgebruikte programma's zijn niet de veiligste. Doordat sommige diensten gebruikersdata exploiteren, hebben ze grotere budgetten. En met die budgetten kunnen ze weer meer adverteren om nog meer gebruikers te werven", vertelt David Janssen, cybersecurityexpert bij VPNgids.nl, aan NU.nl.

Bedenk daarom goed waar je de videobeldiensten voor wil gebruiken voordat je kiest voor een bepaalde dienst, tipt Janssen. "Voor privécommunicatie is het risico bij het gebruiken van Zoom minder groot. Maar wil je vertrouwelijke informatie bespreken: kies dan voor een beveiligde app. Er zijn een aantal kleinere diensten die privacy wel hoog in het vaandel hebben."

Update: Zoom is woensdag in twee blogposts ingegaan op de privacy- en veiligheidsproblemen van de app. Daarin biedt Zoom excuses aan voor het stellen dat de app gebruikmaakt van end-to-endencryptie. Ook zijn de eerder genoemde kwetsbaarheden in de app door Zoom gerepareerd.