Detectados varios problemas de seguridad en Zoom

Actualidadvulnerabilidad

Zoom es una de las app de vídeollamadas  más populares para fines corporativos y ahora también para las videollamadas personales de grupos numerosos con motivo del confinamiento por el coronavirus. Fue creada en 2011 y permite, en su versión gratuita, que hasta 100 personas participen en una conferencia durante un máximo de 40 minutos. En la versión de pago el máximo está en 1.000 participantes y por tiempo ilimitado.

Durante las últimas semanas Zoom ha aumentado un 67% su uso, pero no todo son buenas noticias para esta app: se han descubierto varios problemas de seguridad.

Problemas en el cifrado

Zoom afirma que sus videoconferencias están cifradas punto a punto, pero eso es solo cierto en parte. Según informa The Intercept, aunque las llamadas sí se cifran entre los participantes, Zoom podría llegar a acceder a las comunicaciones de sus usuarios a diferencia de otras aplicaciones de mensajería instantánea como WhatsApp o Telegram.

Credenciales vulnerables

Bleeping Computer ha asegurado que Zoom puede estar filtrando credenciales de inicio de sesión en Windows. Esta vulnerabilidad, afecta a su servicio de chat integrado dentro de la plataforma. El problema reside en que está bien configurado el protocolo de las rutas de acceso UNC para la localización de archivos dentro de una red de equipos informáticos, también conocidas como rutas absolutas.

El cliente web para videollamadas de Zoom permite que este de tipo rutas de acceso UNC funcione a modo de enlace. De esta manera, podría derivar en que un atacante con los conocimientos adecuados pudiera robar las credenciales del usuario dentro de una red local de una empresa.

Esta vulnerabilidad presenta un riesgo limitado ya que es muy difícil de llevar a cabo pero dado que existe supone un riesgo para sus usuarios.

Zoombombing

Zoom dispone de una opción para compartir pantalla que automáticamente genera un enlace público a la videollamada. Si se tiene acceso a este enlace (es fácil encontrar estos links en grupos de Facebook y en Twitter), se puede emitir los vídeos que se quieran en la conferencia privada sin tener que pedir permiso o identificarse.

Esto tiene fácil solución, simplemente se debe añadir una contraseña para entrar en la conexión, pero la mayoría de los organizadores no la usan permitiendo este acceso no deseado, llamado zoombombing. Otra solución es configurar la conferencia de manera que solo el organizador pueda compartir la pantalla

Filtrado de datos a Facebook

Zoom ha reconocido un problema con la SDK de Facebook (la utilidad que te permite identificarte en la app con tus credenciales de Facebook) que afectaba a iOS. Este problema hacía que se enviara información sobre el dispositivo del usuario a esa red social sin su consentimiento. Lo peor es que esa filtración se producía aunque no se utilizaran las credenciales de Facebook para identificarse.

Zoom afirma que ya ha solucionado el problema con su última actualización para iOS por lo que recomiendan actualizar todos los equipos que utilicen ese sistema operativo.

Los datos filtrados incluían:

  • ID de anunciante de iOS
  • Núcleos del CPU del dispositivo
  • Espacio en disco disponible
  • Espacio restante en disco
  • Dimensiones de la pantalla del dispositivo
  • Modelo de dispositivo
  • Idioma
  • Zona horaria
  • Versión iOS
  • Dirección IP

Leave a Reply

Your email address will not be published.