Implicaciones de seguridad y privacidad de Zoom


Implicaciones de seguridad y privacidad de Zoom

En las últimas semanas, el uso de Zoom ha explotó desde que se convirtió en la plataforma de videoconferencia de elección en el mundo COVID-19 de hoy. (Mi propia universidad, Harvard, lo united states para todas sus clases). Durante ese mismo período, la compañía ha sido expuesta por tener una pésima privacidad y una pésima seguridad. Mi objetivo aquí es resumir todos los problemas y hablar sobre soluciones y soluciones alternativas.

En general, los problemas de Zoom se dividen en tres grandes categorías: (1) malas prácticas de privacidad, (2) malas prácticas de seguridad y (3) malas configuraciones de usuario.

Privacidad primero: Zoom espía a sus usuarios para beneficio particular. Parece haber limpiado esto un poco desde que todos comenzaron a prestar atención, pero aún así lo hace.

La compañía recopila una larga lista de datos sobre usted, incluyendo nombre de usuario, dirección física, dirección de correo electrónico, número de teléfono, información de trabajo, información de perfil de Fb, especificaciones de computadora o teléfono, dirección IP y cualquier otra información que cree o cargue. Y utiliza todos estos datos de vigilancia para obtener ganancias, en contra de sus intereses.

El mes pasado, la política de privacidad de Zoom contenía este little bit:

¿Zoom vende datos personales? Depende de lo que quieras decir con «vender». No permitimos que las compañías de advertising and marketing, o cualquier otra persona, accedan a los Datos personales a cambio del pago. Excepto como se describe anteriormente, no permitimos que terceros accedan a los Datos personales que recopilamos en el transcurso de la prestación de servicios a los usuarios. No permitimos que terceros utilicen los Datos personales que obtenemos de nosotros para sus propios fines, a menos que sea con su consentimiento (por ejemplo, cuando descarga una aplicación del Mercado. Por lo tanto, en nuestra humilde opinión, no pensamos en la mayoría de nuestros los usuarios nos verían como vendiendo su información, ya que esa práctica se entiende comúnmente.

«Depende de lo que quiera decir con &#39vender&#39». «… la mayoría de nuestros usuarios nos verían como vendiendo …» «… como se entiende comúnmente esa práctica». Los abogados redactaron cuidadosamente ese párrafo para permitirles hacer lo que quieran con su información mientras fingen lo contrario. ¿Alguno de ustedes que «descarga (ed) una aplicación del Mercado» recuerda haber dado su consentimiento para que brinden sus datos personales a terceros? Yo no.

Doc Searls ha sido todas encima esta, escribiendo sobre la cantidad sorprendentemente grande de rastreadores de terceros en el sitio website de Zoom y sus malas prácticas de privacidad en standard.

El 29 de marzo, Zoom reescrito su política de privacidad:

No vendemos sus datos personales. Si usted es una empresa, una escuela o un usuario personal, no vendemos sus datos.

(…)

No utilizamos los datos que obtenemos de su uso de nuestros servicios, incluidas sus reuniones, para ninguna publicidad. Usamos los datos que obtenemos de usted cuando visita nuestros sitios world-wide-web de internet marketing, como zoom.us y zoom.com. Usted tiene handle sobre su propia configuración de cookies cuando visita nuestros sitios net de promoting.

Hay mucho mas. Es mejor de lo que era, pero Zoom aún recopila una gran cantidad de datos sobre usted. Y tenga en cuenta que considera que sus páginas de inicio son «sitios web de promoting», lo que significa que todavía utiliza rastreadores de terceros y publicidad basada en vigilancia. (Honestamente, Zoom, solo deja de hacerlo.)

Ahora seguridad: la seguridad de Zoom es, en el mejor de los casos, descuidada y maliciosa en el peor. tarjeta madre reportado que la aplicación de Iphone de Zoom estaba enviando datos de usuario a Fb, incluso si el usuario no tenía una cuenta de Fb. Enfocar eliminó la función, pero su respuesta debería preocuparte por sus prácticas de codificación descuidadas en normal:

«Originalmente implementamos la función &#39Iniciar sesión con Fb&#39 usando el SDK de Fb para proporcionar a nuestros usuarios otra forma conveniente de acceder a nuestra plataforma. Sin embargo, recientemente nos enteramos de que el SDK de Fb estaba recopilando datos innecesarios del dispositivo», dijo Zoom Placa base en un comunicado el viernes.

Esta no es la primera vez que Zoom fue descuidado con la seguridad. El año pasado, un investigador descubierto que una vulnerabilidad en el cliente Mac Zoom permitió que cualquier sitio world wide web malicioso habilitara la cámara sin permiso. Esto parecía una elección de diseño deliberada: que Zoom diseñó su servicio para omitir la configuración de seguridad del navegador y habilitar remotamente la cámara world-wide-web de un usuario sin el conocimiento o consentimiento del usuario. (EPIC presentó un Queja de la FTC sobre esto.) Zoom parcheó esta vulnerabilidad el año pasado.

El 4/1, aprendimos que Zoom para Windows se puede usar para robar Credenciales de la ventana de los usuarios.

Los ataques funcionan utilizando la ventana de chat Zoom para enviar a los objetivos una cadena de texto que representa la ubicación de la pink en el dispositivo Windows que están utilizando. La aplicación Zoom para Windows convierte automáticamente estos llamados convención de nomenclatura common cadenas, como attacker.example.com/C$, en enlaces en los que se puede hacer clic. En el caso de que los objetivos hagan clic en esos enlaces en redes que no están completamente bloqueadas, Zoom enviará los nombres de usuario de Home windows y el correspondiente NTLM hash a la dirección contenida en el enlace.

El 4/2, aprendimos que Zoom exhibido en secreto datos de los perfiles de LinkedIn de las personas, lo que permitió a algunos participantes de la reunión espiar entre sí. (Zoom ha solucionado este).

Estoy seguro de que vendrán muchas más de estas malas decisiones de seguridad, errores de codificación descuidados y vulnerabilidades de computer software al azar.

Pero se pone peor. El cifrado de Zoom es awful. Primero, la compañía afirma que ofrece cifrado de extremo a extremo, pero no lo hace. Solo proporciona cifrado de enlaces, lo que significa que todo no está cifrado en los servidores de la compañía. Desde el Interceptar:

En el documento técnico de Zoom, hay una lista de «capacidades de seguridad previas a la reunión» que están disponibles para el anfitrión de la reunión que comienza con «Habilitar una reunión cifrada de extremo a extremo (E2E)». Más adelante en el documento técnico, enumera «Asegurar una reunión con cifrado E2E» como una «capacidad de seguridad en la reunión» que está disponible para los anfitriones de la reunión. Cuando un anfitrión inicia una reunión con la opción «Requerir cifrado para puntos finales de terceros» habilitada, los participantes ven un candado verde que dice: «Zoom está usando una conexión cifrada de extremo a extremo» cuando pasan el mouse sobre él.

Pero cuando se llegó a un comentario sobre si las videoconferencias están realmente encriptadas de extremo a extremo, un portavoz de Zoom escribió: «Actualmente, no es posible habilitar el cifrado E2E para las videoconferencias de Zoom. Las videoconferencias de Zoom usan una combinación de TCP y UDP». Las conexiones TCP se realizan mediante TLS y las conexiones UDP se cifran con AES mediante una clave negociada a través de una conexión TLS «.

También mienten sobre el tipo de cifrado. El 4/3, Citizen Lab reportado

Enfocar documentación afirma que la aplicación utiliza el cifrado «AES-256» para las reuniones cuando sea posible. Sin embargo, encontramos que en cada reunión de Zoom, todos los participantes usan una sola clave AES-128 en modo ECB para cifrar y descifrar audio y online video. No se recomienda el uso del modo ECB porque los patrones presentes en el texto sin formato se conservan durante el cifrado.

Las claves AES-128, que verificamos son suficientes para descifrar los paquetes de Zoom interceptados en el tráfico de Net, parecen ser generados por los servidores de Zoom y, en algunos casos, se entregan a los participantes en una reunión de Zoom a través de servidores en China, incluso cuando todas las reuniones Los participantes y la compañía del suscriptor de Zoom están fuera de China.

Estoy de acuerdo con AES-128, pero usar el modo ECB (libro de códigos electrónico) indica que no hay nadie en la compañía que sepa algo sobre criptografía.

Y esa conexión con China es preocupante. Citizen Lab nuevamente:

Zoom, una empresa con sede en Silicon Valley, parece ser propietaria de tres empresas en China a través de las cuales se paga a al menos 700 empleados para desarrollar el application de Zoom. Este arreglo es aparentemente un esfuerzo en arbitraje laboral: Zoom puede evitar pagar salarios en los EE. UU. Mientras vende a clientes de EE. UU., Lo que aumenta su margen de beneficio. Sin embargo, este acuerdo puede hacer que Zoom responda a la presión de las autoridades chinas.

O de programadores chinos que introducen puertas traseras en el código a pedido del gobierno.

Finalmente, mala configuración del usuario. Zoom tiene muchas opciones. Los valores predeterminados no son geniales, y si no configura sus reuniones correctamente, se deja abierto a todo tipo de travesuras.

«Zoombombing«es el problema más obvious. La gente está encontrando reuniones y eventos abiertos de Zoom, uniéndose a ellos y compartiendo sus pantallas para transmitir contenido ofensivo, pornografía en su mayoría, a todos. Es terrible si eres la víctima, y ​​una consecuencia de permitiendo que cualquier participante comparta su pantalla.

Incluso sin compartir pantalla, las personas inician sesión en reuniones aleatorias de Zoom y las interrumpen. Resulta que Zoom no hizo la ID de la reunión el tiempo suficiente para evitar que alguien los pruebe al azar, buscando reuniones. Esto no es nuevo Investigación de puntos de manage informó esto el verano pasado. En lugar de hacer que los ID de la reunión sean más largos o más complicados, lo que debería haber hecho, habilitó las contraseñas de las reuniones de forma predeterminada. Por supuesto, la mayoría de nosotros no usamos contraseñas, y ahora hay herramientas automáticas para encontrar reuniones de Zoom.

Para obtener ayuda para asegurar sus sesiones de Zoom, Zoom tiene un buena guia. Breve resumen: no comparta la ID de la reunión más de lo necesario, use una contraseña además de la ID de la reunión, use la sala de espera si puede y preste atención a quién tiene qué permisos.

Eso es lo que sabemos sobre la privacidad y seguridad de Zoom hasta ahora. Espere más revelaciones en las próximas semanas y meses. El fiscal standard de Nueva York es investigando la compañia. Los investigadores de seguridad están revisando el computer software, buscando otras cosas que Zoom está haciendo y sin contarle a nadie. Hay más historias esperando ser descubiertas.

Zoom es una seguridad y privacidad desastre, pero hasta ahora había logrado evitar la responsabilidad pública porque period relativamente oscura. Ahora que está en el centro de atención, todo está saliendo. El 4/2, la compañía dijo congelaría el desarrollo de todas las funciones y se centraría en la seguridad y la privacidad. Veamos si eso es algo más que un movimiento de relaciones públicas.

Mientras tanto, debe bloquear Zoom hacia abajo lo mejor que pueda o, mejor aún, abandonar la plataforma por completo. Jitsi es una alternativa distribuida, gratuita y de código abierto. Comience su reunión aquí.

EDITADO PARA AGREGAR: Struggle for the Foreseeable future es en este.

Publicado el 3 de abril de 2020 a las 10:10 a.m.

2 comentarios



Enlace a la noticia original