Un repaso por los últimos problemas de seguridad y privacidad que se descubrieron en Zoom

Varios problemas de seguridad se descubrieron en los últimos días en Zoom, la aplicación para realizar videoconferencias que explotó en usuarios a raíz de la pandemia del COVID-19
El crecimiento que experimentó este software de videoconferencias, que según datos de la propia compañía pasó de ser utilizado por 10 millones de usuarios diarios en diciembre a 200 millones en marzo de este año, ha venido acompañado por el descubrimiento de una gran cantidad de fallos de seguridad que despertaron muchas dudas en los usuarios, provocando que se prohiba su uso en escuelas de la ciudad de Nueva York y de Singapur, así como Google a sus empleados, o que el fiscal general de Nueva York escriba una carta a la compañía preguntando qué medidas de seguridad piensa implementar a partir de este incremento en el tráfico. Pero además de los problemas propios de la herramienta, el contexto del nuevo coronavirus y la necesidad de realizar actividades de manera remota han despertado el interés de los cibercriminales, quienes han aprovechado la popularidad de la herramienta para engañar a los usuarios.
Además de los problemas de privacidad y de seguridad en Zoom que mencionamos en un artículo publicado el 30 de marzo, como el envío de datos recolectados por la herramienta a Facebook, el fenómeno denominado Zoombombing —mediante el cual un actor malintencionado se cuela en las videoconferencias grupales utilizando el ID de la reunión virtual o un enlace que se haya hecho público para acceder a la misma—, o el crecimiento de la cantidad de dominios registrados por cibercriminales utilizando el nombre de la herramienta con la intención de engañar a los usuarios para infectarlos con malware, en los últimos días surgieron nuevos problemas relacionados con la seguridad y al manejo de la privacidad que hace la herramienta que resumiremos a continuación.
Cabe destacar que en un comunicado publicado el 1 de abril, Zoom ha manifestado su preocupación por los problemas de seguridad y privacidad que han salido a la luz en estos días y ha tomado medidas para solucionarlos. Varios de los vinculados a la aplicación ya han sido solucionados, mientras que otras amenazas de seguridad están relacionadas a cibercriminales que intenta aprovechar el interés de los usuarios por la herramienta, pero que son ajenos a la compañía.
Por último, y antes de ir al detalle de los problemas de seguridad y privacidad que se conocieron en los últimos días, Zoom lanzó un comunicado en el día de hoy anunciando actualizaciones de seguridad. Entre los cambios implementados está la eliminación del ID de la barra del título y la creación de una nueva opción llamada “seguridad” que permite a los anfitriones al hacer clic en esta opción encontrar y habilitar de manera fácil y sencilla muchas de las funciones de seguridad implementadas para asegurar las reuniones que se realicen a través de la herramienta.
Fallo de seguridad en enlaces a rutas UNC
A fines de marzo se descubrió que el cliente de Zoom era vulnerable a un fallo denominado “UNC path injection”, el cual podría llegar a ser utilizado por un atacante para lograr, en última instancia, obtener las credenciales de usuario de Windows de la víctima luego de hacer clic en el enlace. Las rutas UNC son cadenas de caracteres utilizadas para indicar la ruta o ubicación de un archivo o directorio dentro del sistema.
El problema radica en que Zoom convierte en hipervínculos estas rutas UNC que pueden ser enviadas de un participante a otro a través del chat de la herramienta. Si el usuario hace clic en el enlace a la ruta UNC, el servidor remoto Windows se intentará conectar mediante el protocolo SMB para llegar a la ruta, y al hacer esto, por defecto enviará el nombre de usuario para el inicio de sesión y la contraseña hasheada, la cual puede ser descifrada con algunas herramientas disponibles de manera gratuita. Por si fuera poco, otro investigador que analizó este fallo reveló que puede se utilizado para ejecutar un programa en una computadora local al hacer clic en el enlace.
Por suerte, Zoom lanzó una nueva versión de la herramienta (4.6.19253.0401) que corrige el fallo y evita que se conviertan las rutas UNC en hipervínculos.
Funcionalidad que permitía vincular participantes son perfiles de LinkedIn
Una investigación del New York Times reveló que la herramienta utilizaba una función de minería de datos que recolectaba nombres de usuario y direcciones de correo para vincular a los participantes con sus perfiles de LinkedIn, incluso si utilizaban un seudónimo para permanecer anónimos. Además, según explicó el medio, la herramienta permitía que participantes de una reunión puedan accedan a los datos del perfil de LinkedIn sin que Zoom solicite permiso para visitar la información del perfil de los participantes o les informe que terceros estaban visitando su cuenta en la red social. Por su parte, Zoom reveló que deshabilitó esta función.
Filtración de direcciones de correo y fotos
El sitio Motherboard, de Vice, reveló que Zoom estaba filtrando direcciones de correo y fotografías de miles de usuarios, permitiendo que desconocidos puedan llamarlos a través de la herramienta. El problema radica en la función “Directorio de la compañía”, que de manera automática añade a otras personas a una lista de contactos que se registraron a Zoom con un correo que comparte el mismo dominio. Sin embargo, muchos usuarios que se registraron utilizando cuentas de correo personales han visto que el programa los incluyó en listas de contactos junto a otros usuarios como si formaran parte de una misma compañía, exponiendo a terceros información personal, como nombres, direcciones de correos y fotografías.
Un vocero de la compañía dijo al medio que agregaron los dominios especificados a una lista negra y que de manera proactiva identifican dominios para incluirlos en esta lista.
Crecimiento del fenómeno denominado Zoombombing
Comunidades de usuarios comenzaron a compartir los códigos de conferencias que permiten a terceros infiltrarse en las videoconferencias para alterar las comunicaciones. Apodado Zoombombing, mediante este tipo de ataque los intrusos llevan adelante prácticas agresivas, como mostrar pornografía, amenazar a los participantes, insultarlos o lo que sea que quieran hacer.
Como dijimos en una publicación anterior sobre los problemas de privacidad y seguridad que habían comenzado a aparecer alrededor de Zoom, la invasión de trolls que encuentran enlaces a reuniones dentro de la plataforma o que obtienen los ID de las mismas ha crecido enormemente, al punto de que en sitios como Reddit, Twitter o foros de hacking, entre otros tantos más, usuarios han estado compartiendo enlaces y códigos para que terceros se cuelen en las llamadas, publicó Zdnet.
A partir del incremento de los ataques de Zoomboming, el FBI publicó una advertencia para que los usuarios aseguren sus navegadores para evitar ser víctima de este tipo de ataques. Una de las principales recomendaciones consiste en crear una contraseña para el acceso a la reunión, una opción que aparece automáticamente al crear una cita. Asimismo, se aconseja no compartir el ID de la reunión ni publicar imágenes de las reuniones, ya que las imágenes muestran el ID de la reunión (Zoom anunció hoy que el ID no se mostrará más en la barra de herramientas), así como también deshabilitar la posibilidad de compartir pantalla. Por último, bloquear la reunión una vez que todos los participantes ingresaron.
Por su parte, Zoom publicó una guía de cómo evitar este tipo de ataques que incluyen las recomendaciones antes mencionadas y otras, por lo que sugerimos su lectura.
Grabaciones de Zoom en el dominio público
Un artículo publicado en Washington Post el 3 de abril revelaba que miles de grabaciones de llamadas y realizadas a través de Zoom habían quedado almacenadas y en el dominio público. Asimismo, debido a la forma de nombrar los archivos que implementa Zoom era posible encontrar videos, accesibles para cualquiera, en servicios de almacenamiento como los que ofrece Amazon.
Cifrado en las comunicaciones que se realizan a través de Zoom
Si bien Zoom asegura implementar cifrado de extremo a extremo en sus comunicaciones, al parecer esto no es del todo así. Según explicó el sitio The Intercept, Zoom tiene acceso a videos y audios sin cifrar de las reuniones realizadas a través de la app. Por su parte, la compañía aclaró que los contenidos de las videoconferencias (chats, videos, audios y pantallas compartidas) son cifradas de extremo a extremo, pero si se habilita algún servicio, como la grabación en la nube, Zoom tiene acceso a las claves de descifrado que actualmente mantiene en la nube. Esto no debiera ser así, aseguran especialistas, ya que en un verdadero sistema de cifrado de extremo a extremo el proveedor del servicio (en este caso Zoom) no debería poder tener acceso a contenido descifrado de las comunicaciones, incluso si así lo quisiera. Esto aseguraría no solo que el proveedor no podrá leer tus datos, ni tampoco un atacante que comprometa la aplicación o sus servicios en la nube.
Por su parte, una investigación de Citizen Lab asegura que el esquema de cifrado de Zoom presenta debilidades importantes. Según revelaron, las claves para el cifrado y descifrado de las reuniones son generadas en servidores de Zoom (que nunca deberían salir del dispositivo de punto final), en algunos casos, han sido enviadas a los participantes a través de servidores ubicados en China (algo que la propia compañía confirmó), lo cual es riesgoso, ya que las deja en manos de terceros que pueden ser atacados por cibercriminales con el objetivo de obtener esas claves.
Luego de las investigación realizada por Citizen Lab, Zoom comunicó que dejó de utilizar los datacenters ubicados en China, al tiempo que aseguró que está trabajando para mejorar el esquema de cifrado que implementan para proporcionar la máxima seguridad.
Falsos instaladores de Zoom utilizados para distribuir malware
A fines de marzo mencionamos que investigadores reportaron un crecimiento en el registro de dominios que utilizaban el término zoom como parte de los nombres de los dominios, algo que probablemente tenga una explicación en la intención de los cibercriminales de crear sitios que suplanten la identidad de la plataforma para engañar a los usuarios y que descarguen ejecutables maliciosos. Esta semana se conoció que cibercriminales están ocultando malware para minar criptomonedas en instaladores legítimos de la aplicación, reveló Trend Micro. Asimismo, el sitio BleepingComputer reportó que descubrió otros instaladores de Zoom en sitios no oficiales siendo utilizados para distribuir un troyano de acceso remoto (RAT, por sus siglas en inglés) que permite al atacante obtener acceso completo del equipo comprometido.

Estos han sido los problemas de seguridad y privacidad que salieron a la luz durante los últimos diez días en Zoom. La compañía ha reconocido los distintos fallos y manifestó que el crecimiento inesperado los ha superado, aunque también les ha permitido descubrir problemas que desconocían. Asimismo, explican que están analizando cada uno de los problemas reportados para mejorarlos.

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS