Mac-Nutzer*innen: Update der Zoom-App vornehmen, da diese Ton aufzeichnet.

Betroffen ist nach unseren Erkenntnissen die Version 5.4.4 für MacOS, die am 23. November 2020 ausgerollt wurde. Bei Version 5.4.6 vom 8. Dezember scheint das eigentümliche Verhalten nicht mehr aufzutreten.

Mac-Nutzer*innen ist dringend anzuraten die Zoom-Desktop-App mindestens auf die Version 5.4.6 upzudaten. Stand heute ist Version 5.4.7 verfügbar.

Eine Nutzerin hat sich beim TU-Zoom Support gemeldet, da sich in einem Zoom-Ordner „/Users/USERNAME/Library/Logs/zoom.us/audio“ einige mehrere GB große Dateien ansammelten, die sich bei weiterer Recherche als Audio-Dateien entpuppten (PCM-Format 32 kHz, Mono, 16 Bit sowie CSV Dateien mit Diagnosedaten).

Ein Kollege konnte feststellen, dass es sich um mehrere Stunden lange
Audioaufnahmen handelt, Tastaturanschläge und Atmen sowie (Youtube-)Videos
sind zu hören. Das ist als Datenschutzverstoß einzuordnen, da weder eine Zustimmung noch eine Aktivierung dieser Aufnahmefunktion durch die Nutzerin vorlag (wir haben die entsprechende Meldung an die Berliner Datenschutzbehörde vorgenommen).

Betroffen ist (zumindest) die Zoom-Desktop-App für Mac Version 5.4.4. Da die Dateien bei einem Update auf Version 5.4.6 gelöscht werden, ist davon auszugehen, dass es sich um ein Verhalten handelt, dass von Zoom selbst verursacht wurde und nicht durch Dritte (wie etwa Viren/Trojaner).

Zoom schreibt in den Release Notes der Version 5.4.6 für MacOS von „security enhancements“, das geschilderte Verhalten wird allerdings nicht erwähnt.

Der Zoom Support ist benachrichtigt, er hat mittlerweile eine Erklärung dazu abgegeben (siehe unser Nachtrag).

Daran zeigt sich auch die Problematik von Desktop-Apps, die weitgehende Zugriffrechte haben. Man/frau muss allen installierten Softwareprodukten vertrauen (können).

Gegenmaßnahmen

Auf jeden Fall sollten Mac-Nutzer ein Update vornehmen. Alternativ kann auch über einem Browser an Zoom-Meetings teilgenommen werden.

An der TU wurde die Konfiguration angepasst: Um die Zoom-App für Mac für ein Meeting der TU nutzen zu können, muss mindestens Version 5.4.6 installiert sein.

Weitere Informationen

Soweit uns bekannt, wurde darüber noch nicht in den gängigen Medien berichtet, in einem Reddit-Forum wird das Problem benannt:

Nachtrag vom 4. Januar

Heute gab es eine Antwort des Zoom Supports, in der lapidar darauf hingewiesen wird, dass die Audio-Dateien nur lokal gespeichert wurden und der Fehler -wie von uns ermittelt- bei der Version 5.4.6 behoben wurde.

“ (…) Please note that your audio files were not sent to Zoom nor any third party and were only recorded to the user’s local machine. We released an update on December 6 in Zoom 5.4.6 for macOS that addresses this issue.“

Aus unserer Sicht allerdings ein klares Fehlen von Transparenz seitens Zoom, da sie dazu verpflichtet sind, jeglichen Datenschutzverstoß ihren Kunden zu melden. Ihn  klammheimlich mit einem Fix zu beheben ist nicht die feine englische Art.

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

4 Gedanken zu „Mac-Nutzer*innen: Update der Zoom-App vornehmen, da diese Ton aufzeichnet.“

  1. Ich konnte auch derartige Aufnahmen auf meinem Mac finden und mit Hilfe von Audacity abspielen. Unglaublich! Ist das Vorgehen mit hoher Wahrscheinlichkeit rechtswidrig? Welche Konsequenzen kann das für Zoom haben?

    1. Aus unserer Sicht ist das unautorisierte Aufzeichnen von Ton rechtswidrig.
      Wir haben den Vorfall an die Berliner Behörde gemeldet.
      Diese kann dann entscheiden, ob sie gegen Zoom vorgeht. Ggf. wendet sie sich auch an diejenige europäische Datenschutzaufsichtsbehörde, die für Zoom zuständig ist: lt. Zooms Datenschutzerklärung ist es die irische Datenschutzaufsichtsbehörde.

  2. Strange. Bei mir heißen diese Dateien „ultrasound-*.pcm“. Ultrasound ist m.E. eine Technologie von Cisco, über die sich unterschiedliche Geräte im selben Raum verbinden. Z.B. in Verbindung mit Webex Teams. Vielleicht hat es ja damit etwas zu tun.

    1. Da Zoom auch einige ehemalige Cisco-Mitarbeiter*innen hat, kann das gut sein, insbesondere wenn es sich um Open Source Code handelt, der so genutzt werden kann.

      Wir haben auch Parallelen zum Chromium Projekt gefunden, dort gibt es Unit-Tests, die ein ähnliches Verhalten hatten. Da der Browser gern als Bestandteil von Videokonferenz-Apps eingebunden wird, ist auch das eine Möglichkeit.

      Wir werden über das Feedback von Zoom berichten, vielleicht erfahren wir so aus erster Hand Näheres.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert