Investigadores de vulnerabilidad se centran en la seguridad de la aplicación Zoom



Con el surgimiento de la videoconferencia como una herramienta esencial para el trabajo remoto viene un inconveniente: más escrutinio de seguridad, lo que ha generado una serie de debilidades de seguridad.

Trabajar desde casa se ha convertido en la nueva norma para muchos trabajadores de tecnología y conocimiento, y junto con el cambio al trabajo remoto, los servicios de videoconferencia, como Zoom, se han convertido en una tecnología clave que une a las personas.

Sin embargo, con la popularidad viene el escrutinio.

Durante el mes pasado, los investigadores comenzaron a detectar fallas de seguridad y privacidad en la aplicación, que tuvo éxito como marca durante la pandemia. A fines de marzo, por ejemplo, un miembro del equipo rojo descubrió que Zoom mostraría las rutas de la Convención de nomenclatura common (UNC) como enlaces, que, si se hacía clic, enviarían un hash de nombre de usuario y contraseña a un sistema controlado por el atacante. En otro informe publicado en línea, un investigador encontró dos vulnerabilidades en el cliente Zoom para MacOS.

Debido a que muchos trabajadores continúan trabajando de manera remota, Zoom y otras aplicaciones de videoconferencia serán examinadas más de cerca por fallas de seguridad, dice Brian Gorenc, director de investigación de vulnerabilidad y jefe del programa ZDI de la firma de ciberseguridad Development Micro.

«Estamos en un momento sin precedentes con respecto a la cantidad de personas que trabajan de forma remota», dice. «Todos los productos que permiten esto: VPN, video clip chat, 2FA (y otros) recibirán un mayor escrutinio por parte de investigadores y atacantes».

Zoom, en particular, ha tenido unas pocas semanas difíciles. Los atacantes han comenzado a registrar dominios que parecen estar relacionados con la empresa, con más de 1.700 dominios con temas de Zoom registrados a nivel mundial. El 30 de marzo, la oficina del FBI en Boston advirtió a las plataformas y escuelas de videoconferencia que la agencia de aplicación de la ley había recibido informes de que las llamadas de conferencia estaban siendo «bombardeadas con zoom» por imágenes pornográficas y de odio durante las conferencias escolares.

Finalmente, los críticos han acusado a Zoom de siendo demasiado expansivo con el uso del término «cifrado de extremo a extremo».

Es probable que la compañía no haya visto el last del escrutinio de seguridad y privacidad, dice Carl Livitt, investigador principal de la firma de pruebas de penetración Bishop Fox.

«Estamos empezando a ver los primeros goteos de los errores en este momento», dice. «Pero los investigadores a menudo, cuando encuentran un mistake, ven algo más súper interesante y toman nota de ello. No me sorprendería en lo más mínimo si se caen más errores debido a esta atención».

Al menos tres números se han publicado en el último mes. Un probador de penetración descubrió que un chat de Zoom podría usarse para publicar enlaces en el formato de la convención de nomenclatura common (UNC), que podría usarse para capturar un hash de nombre de usuario y contraseña si un usuario hace clic en un enlace que se conecta a un servidor de bloque de mensajes del servidor (SMB).

Un segundo especialista en ciberseguridad mostró una captura de pantalla de una prueba de concepto del ataque. «Aquí hay un ejemplo de cómo explotar el cliente Zoom de Home windows utilizando la inyección de ruta UNC para exponer las credenciales para usar en ataques SMBRelay». escribió @hackerfantastic en Twitter.

Zoom reconoció el problema. «En Zoom, garantizar la privacidad y seguridad de nuestros usuarios y sus datos es primordial», dijo la compañía en un comunicado enviado a Dim Reading. «Somos conscientes del problema de UNC y estamos trabajando para abordarlo».

Otro investigador publicitó otros dos problemas con Zoom en el sistema operativo MacOS: un ataque de escalada de privilegios y un ataque de inyección de código. Ambas vulnerabilidades son un resultado de Zoom eludiendo una función de seguridad específica de MacOS.

Felix Seele, el líder técnico de la firma de análisis de comportamiento y estática VMRay, criticó al instalador de Mac OS de la compañía por la forma en que evita la entrada del usuario durante la instalación en nombre de, lo que dice Zoom, es el deseo de una buena experiencia de usuario.

«Esto no es estrictamente malicioso pero es muy sombrío y definitivamente deja un regusto amargo», Seele escribió en Twitter. «La aplicación se instala sin que el usuario dé su consentimiento ultimate, y se utiliza un mensaje muy engañoso para obtener privilegios de root. Los mismos trucos que utiliza el malware de macOS».

El CEO de la compañía respondió a las críticas de Seele sobre la elusión en Twitter.

«Implementamos (esto) para equilibrar el número de clics dadas las limitaciones de la tecnología estándar», Eric S. Yuan, fundador y CEO de Zoom, escribió en Twitter. «Unirse a una reunión desde una Mac no es fácil, es por eso que Zoom y otros usan este método. Su punto está bien tomado y seguiremos mejorando».

Livitt del obispo Fox señala que otras plataformas han tenido que lidiar con el escrutinio de seguridad a lo largo de los años. Cuando Cisco compró WebEx, esa plataforma de videoconferencia tuvo que resistir una racha de informes de errores también.

Sin embargo, la decisión de Zoom de trabajar alrededor de la seguridad de la plataforma para una experiencia de usuario posiblemente más fluida sugiere que la compañía, o sus desarrolladores, pueden no soportar procesos de seguridad maduros, dice Livitt.

«Al final, la plataforma proporcionó estos controles de seguridad y los desactivaron deliberadamente, y nadie sabe realmente por qué», dice. «Si los desarrolladores deshabilitan las banderas de seguridad, eso significa que su ciclo de vida de desarrollo de computer software no es tan maduro como debería ser».

Contenido relacionado:

Revisa El borde, La nueva sección de Dark Reading through para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Desenredando el riesgo de terceros (y cuarto y quinto …)«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Reading, MIT&#39s Technology Assessment, Well-liked Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más tips





Enlace a la noticia initial