¿Alguna vez necesitó una contraseña de Zoom? Probablemente no. ¿Pero por qué no?


Con Zoom, y Zoom-bombardeo, que está de moda, esta es la razón por la cual la configuración de contraseña predeterminada de la aplicación puede dejar la puerta trasera abierta de par en par

¿Alguna vez ha necesitado ingresar una contraseña para conectarse a una reunión de Zoom? Si es así, estoy seguro de que eres parte de una minoría entre los usuarios de Zoom. El anfitrión puede haber configurado conscientemente la reunión para que necesite una contraseña con la suposición de que los asistentes deberán ingresar una cuando hagan clic en el enlace para unirse a la reunión. ¿Por qué, si la invitación a la reunión tiene una contraseña en los detalles, no es necesaria?

Al programar una reunión en Zoom, como se ve en la Figura 1, hay una opción «requerir contraseña de reunión», que por defecto es «activado». Zoom cambió recientemente esto de predeterminado a «apagado» en respuesta a la Problemas de bombardeo con zoom de invitados no invitados que se unen a reuniones que algunas personas han experimentado. La persona que programa la reunión probablemente espera que los participantes de la reunión necesiten la contraseña para conectarse. Después de todo, cuando un servicio le pide que cree una contraseña para acceder a una cuenta, normalmente solicita esa contraseña cada vez que inicia sesión, esa es la forma en que generalmente funcionan las contraseñas.

Figura 1. Zoom ahora por defecto requiere una contraseña al programar una reunión

Se genera una invitación para que pueda enviar detalles a los invitados de cómo unirse a la reunión. Esta invitación incluye la fecha y la hora, un enlace para unirse a la reunión y el ID y la contraseña de la reunión, como se ve en la Figura 2. Como planificador de varias reuniones de Zoom, en ningún momento se me ha notificado que los invitados podrán unirse sin ingresar la contraseña mi expectativa period que necesitarían la contraseña para unirse.

Figura 2. Zoom del correo electrónico de invitación con una contraseña aleatoria predeterminada

Observe que la URL en la invitación de la Figura 2 para “Unirse a la reunión de Zoom” incluye un parámetro “pwd =” seguido de numerosos caracteres aparentemente aleatorios. La cadena aleatoria es una versión codificada de la contraseña, que aparece en su forma straightforward debajo de la ID de la reunión. Señalando lo obvio aquí: las versiones codificadas y simples de la contraseña están incluidas en la misma invitación que generalmente se envía, en su totalidad, como una invitación de calendario o correo electrónico al invitado. En este punto, la ofuscación de la contraseña parece inútil y no ofrece ningún valor de seguridad.

El siguiente paso es enviar la invitación Si todos los destinatarios están dentro del dominio de su propia empresa, entonces esto probablemente sea seguro, ya que el equipo interno de TI tiene el control. Sin embargo, si se envía a un destinatario fuera de la empresa, el contenido del correo electrónico fluirá a través de las redes públicas. La buena noticia aquí es que el 93% del correo electrónico entrante, según Google, está encriptado en tránsito. Por lo tanto, hay una oportunidad limitada de que alguien intercepte el correo electrónico y obtenga los detalles de la reunión, incluida la contraseña.

La invitación llega a la bandeja de entrada o al calendario del invitado. En el momento en que se programa la reunión, todo lo que se requiere para unirse a la reunión es un straightforward clic en el enlace de la invitación. El planificador espera que el invitado necesite una contraseña, ya que así fue como se configuró la invitación. Sin embargo, no se requiere ingresar una contraseña porque la contraseña está incrustada en el enlace oculto en la cadena de caracteres codificada utilizada para conectarse a la reunión. ¿Cuál era el punto de requerir una contraseña, entonces?

La otra forma de unirse a una reunión de Zoom es ingresar la ID de la reunión de 9 dígitos Si intenta unirse a una reunión con este método y se configuró una contraseña, se muestra una solicitud de contraseña. Esto detiene a las personas que intentan conectarse a una reunión protegida con contraseña solo con la ID de la reunión, lo que resulta en una reducción del bombardeo de zoom. Dicho esto, los malos actores que han estado bombardeando con zoom aún pueden usar tácticas de fuerza bruta para encontrar identificaciones de reunión válidas, al configurar scripts que se ejecutan para intentar conectarse continuamente a las reuniones.

Existe el riesgo de que alguien pueda reenviar la invitación, en su totalidad, a una persona no autorizada que luego podría unirse a la reunión, y estaría en posesión del enlace con la contraseña incrustada y la contraseña actual. Incluso si la contraseña no estaba incrustada en el enlace, la contraseña se incluye en la invitación, por lo que nuevamente la contraseña no ofrece ningún valor de seguridad.

¿El navegador inserta algún riesgo para los detalles necesarios para unirse a una reunión? Como el enlace es https, el navegador comenzará pidiendo a los servidores zoom.us comunicación cifrada una vez establecido, se solicitará el enlace completo y comenzará el proceso de reunión, sin necesidad de contraseña, ya que está incrustado en el enlace. Nuevamente, la contraseña no ha agregado ningún valor.

El bombardeo con zoom fue principalmente un problema para las escuelas y los estudiantes, con actores maliciosos uniéndose a videoconferencias para la enseñanza en línea y mostrando mensajes y contenido racistas o inapropiados. Es possible que el dispositivo de un estudiante tenga otras aplicaciones o extensiones de navegador instaladas que le permitan comunicarse de una manera divertida, por ejemplo, emoji o extensiones de chat. Si una extensión tiene permiso para leer el historial de navegación, los desarrolladores de extensiones pueden acceder al enlace con la contraseña incrustada podrían unirse sin conocer la contraseña, pero a través del historial del navegador del usuario.

Las extensiones populares que los estudiantes podrían tener podrían significar que los detalles de su reunión, incluidas las contraseñas integradas, se comparten con terceros. Para probar esto, fui a Chrome Internet Store y, con la orientación de mi hijo sobre lo que los estudiantes están usando, intenté agregar dos extensiones de Chrome que tienen más de 1 millón de descargas cada una. Ambos solicitaron el siguiente permiso: «Lea su historial de navegación».

Figura 3. Parte de la compensación por usar la extensión

Este permiso permite a estas dos compañías de terceros acceder a todo mi historial de navegación, incluidos los enlaces a cualquier reunión de Zoom que se haya unido, e incluirá de manera predeterminada la contraseña incrustada. No he nombrado las extensiones que intenté agregar a mi navegador, ya que las empresas involucradas pueden tener razones legítimas para recopilar los datos y pueden almacenarlos de forma segura. Sin embargo, también pueden compartirlo con otros terceros y no asegurarlo adecuadamente.

Si la reunión se crea utilizando la configuración predeterminada de Zoom y se realiza de forma periódica, el enlace de invitación, incluida la contraseña, se puede compartir con los proveedores de extensiones y con cualquier tercero con el que compartan datos. Dudo que esta posibilidad haya sido considerada por la persona que programó la reunión pensaron que sería una contraseña necesario.

Zoom ofrece la posibilidad de desactivar la función de «contraseña incrustada». Sin embargo, esta opción no es una opción en el momento en que se crea una reunión en su lugar, requiere que el usuario cambie los valores predeterminados en su «Own – Configuración».

En mi opinión, cuando un usuario crea una reunión, Zoom debe mostrar una alerta de notificación de que el uso de la configuración predeterminada de «solicitar contraseña» en realidad significa que No contraseña entrada será requerido por cualquier persona, incluido cualquier tercero, que tenga el enlace a la reunión.

¿Qué más?

No se equivoque, hay más que considerar cuando se trata de proteger sus reuniones de Zoom. Manténgase en sintonía para profundizar en la configuración de la aplicación y aprender qué más puede hacer para mantener el servicio más seguro.








Enlace a la noticia authentic