Zoom: La herramienta de videoconferencia herida en su mejor momento

By albert
23 Abr 2020

Se pueden encontrar a través de internet diversas noticias sobre vulnerabilidades que se han encontrado en una herramienta muy utilizada por las empresas para el desarrollo de videoconferencias: Zoom. En este artículo expondremos al usuario qué es Zoom, que vulnerabilidades ha experimentado y cómo se han solucionado o las medidas que tiene que tomar el usuario para solucionarlas. Indicar que, en este artículo se ha llegado al nivel de detalle de los problemas que se ha considerado más apropiado para todos los usuarios. Si hubiera alguna persona interesada en un nivel de detalle mayor de esta problemática, no dude en consultar al equipo de A2Secure y le ayudaremos de la mejor manera posible.  

¿Qué es Zoom?

Zoom es un sistema de videoconferencia por el cual dos o más personas pueden establecer una conversación a través de audio y/o video en remoto, bien pudiendo utilizar teléfonos, smartphones u ordenadores personales. Zoom les permite además, compartir escritorio con el resto de personas participantes. Para acceder a una videoconferencia, las personas convocadas a la reunión reciben una url para el acceso a la misma. Una vez allí el sistema les insta a descargar una aplicación para poder realizar la comunicación y el posible uso de escritorio remoto. Todas estas comunicaciones se realizan a través de un canal protegido (y que se supone seguro) para preservar la seguridad y privacidad de las conversaciones que se están manteniendo.

¿Qué ha ocurrido?

Pero, la herramienta está de capa caída ya que ha mostrado diferentes tipos de vulnerabilidades, las cuales detallaremos a continuación y expondremos la situación real de las mismas. Antes de pasar a relatar dichos problemas, hay que poner en contexto la situación y entender el por qué han ocurrido ahora este tipo de hallazgos y descubrimientos de vulnerabilidades.
Debido a la situación actual en todo el mundo (Covid-19), el uso de la herramienta se ha multiplicado de manera importante. Actualmente podríamos decir que casi todas las empresas tienen la necesidad de hacer uso de esta herramienta para garantizar el teletrabajo. Pero no solo ellos. Es importante tener en cuenta también, que los usuarios y personas que tienen como único fin la realización de actividades maliciosas (bien por diversión o por interés económico), gozan actualmente de un tiempo extra para realizar dichas pruebas y el hecho de que la situación actual haya generado esta necesidad de trabajo, vuelve el ataque y explotación objeto de interés de dichos atacantes. Pasamos por tanto a las vulnerabilidades encontradas:

Acceso a las reuniones por parte de extraños

Problema
Se han dado múltiples casos en los que en las reuniones han aparecido personas extrañas mostrando actuaciones impropias o maliciosas dentro de la reunión. Esto es debido a un problema con la facilidad de generación de los identificadores de reunión y la facilidad de acceso a las mismas. Este problema ocurre porque existen personas que testean direcciones de videoconferencia (por ejemplo a través de herramientas aleatorias) de Zoom. Cuando encuentran una videoconferencia abierta, participan en la misma y comienzan a añadir todo tipo de contenido inapropiado con ánimo malicioso, se quedan a la escucha de las conversaciones privadas de los participantes o pretenden boicotear la comunicación. Este tipo de comportamientos se suelen dar en reuniones con gran número de asistentes donde se hace muy difícil la identificación de personas ajenas a la misma. 
Solución
El problema se puede deber a 2 factores. El primero de ellos es la ausencia de contraseña en las videoconferencias. El no indicar una contraseña para el acceso a la misma, convierte el acceso a la videoconferencia en público. Cuando se hacen estos «barridos» de direcciones, las personas prueban el link y al ver que pueden acceder de manera sencilla, entran dentro de la llamada. El segundo factor que provoca esto, es el hecho de establecer una contraseña, pero con una nivel de seguridad bajo o mínimo. La sencillez de acceso a las conferencias es prácticamente similar al hecho anterior. Las personas entrometidas hacen uso de herramientas para automatizar el proceso de rotura y no les causa mucha dificultad romper la seguridad y acceder a las conversaciones. Por lo tanto, para solucionar este problema, las personas encargadas de crear y gestionar la conferencia deben asegurarse de:

  • Indicar una contraseña de acceso a la misma.
  • Que dicha contraseña tenga una fortaleza mínima de seguridad. (no usar palabras relacionadas con la videocall, min. 8 caracteres, mayúsculas, minúsculas y números)

Por último, la compañía ha escondido los ID de reunión en la ventana de los usuarios para dificultar el descubrimiento de IDs válidos (por ejemplo, a través de imágenes de reunión compartidas).

Envío de datos a Facebook

Problema
En Marzo de 2020, se descubrió que la aplicación enviaba información y estadísticas de uso a Facebook. La compañía lo negó y detalló que se recogía información relativa al software y hardware de la máquina. 
Solución (Adoptada por Zoom)
La compañía eliminó de la aplicación la adquisición de información de los dispositivos de los usuarios.

Vulnerabilidades a nivel de cliente

Problema
Se han descubierto vulnerabilidades en la aplicación, la cual permitía a agentes maliciosos obtener el control de la sesión, del audio y del video de las víctimas. Incluso se ha llegado a tener control total de las máquinas como superusuario en el caso de Mac OS. Además de este problema se han encontrado otros, como la filtración de información por parte de la aplicación, como correos electrónicos o imágenes. 
Solución
Zoom parcheó el aplicativo y solucionó las posibles incidencias de seguridad.

Vulnerabilidades a nivel de servidor

Problema
Se han encontrado vulnerabilidades en la parte del servidor que al ser explotadas, ponen al descubierto los videos guardados en la nube de las diferentes compañías. Además, este hecho ha permitido descubrir que aún siendo borrados por los usuarios, estos videos siguen permaneciendo en la nube.
Solución
La empresa ha tomado cartas en el asunto, ha desechado algunas actualizaciones que habían dado pie a esta situación, modificado las configuraciones de las cuentas y establecido por defecto una contraseña para el acceso al contenido en la nube.

La información de los usuarios al descubierto

Problema
Atacantes han conseguido acceder a los datos de las cuentas de los usuarios en Zoom y han revelado (y vendido) esta información en diferentes redes y foros. La cantidad de cuentas que han sido vulneradas asciende a 500.000.
Solución
Se insta a los usuarios a cambiar las contraseñas de sus cuentas de Zoom, para así preservar la confidencialidad de las mismas y prevenir que un atacante utilice sus credenciales en la aplicación. De la misma manera, recomendar a los usuarios que, si la contraseña estaba compartida con otros servicios, se proceda a cambiarla, ya que los atacantes podrían utilizar el conjunto usuario-contraseña para acceder a otros servicios donde estuviera dado de alta este usuario. Se puede visitar la página https://haveibeenpwned.com/ para comprobar si sus credenciales han sido robadas.

Cifrado extremo a extremo

Problema
Se ha descubierto una vulnerabilidad que afectan a la privacidad de la comunicación. La vulnerabilidad se ha descubierto en Marzo del 2020 e implica que la conversación entre ambos extremos pueda ser interceptada. Esto es debido al uso de algoritmos conocidos y que se consideran débiles. Según Zoom Inc. el cifrado utiliza el algoritmo AES-256, pero se ha descubierto que la longitud de la clave que se está utilizando es de 128 bits. De todas maneras, aun a pesar de que la longitud sea menor, se sigue considerando segura. El problema no sólo viene de la longitud de la clave, sino por la aleatoriedad utilizada en la creación de la clave. El por qué de esto, es el uso del modo ECB (Modo de cifrado por bloques, llamado Electronic Codebook) para la generación aleatoria de la clave.
Solución
Actualmente Zoom está trabajado en este problema. La empresa ha indicado recientemente que están testeando una nueva versión del software Zoom 5.0 en la cual sustituirá el cifrado AES256ECB por AES256GCM. Posiblemente en menos de una semana y después de terminar las pruebas correspondientes, tendremos la nueva versión con este problema resuelto.

¿Es recomendable seguir utilizando Zoom?

Después de realizar el análisis de todos los problemas que ha sufrido esta herramienta tan utilizada, hay que indicar a su favor, que han sido realmente rápidos y han mostrado gran esfuerzo en resolver las vulnerabilidades (quizás debido a que es el momento más importante de su existencia y popularidad). 

  • Los problemas con el acceso a las reuniones queda totalmente del lado del usuario, pues es éste el que se tiene que encargar de configurar la aplicación con el óptimo nivel de seguridad deseado.
  • Los problemas de las vulnerabilidades encontradas en la aplicación han sido parcheados correctamente.
  • Las vulnerabilidades descubiertas en la nube donde los usuarios almacenan la información han sido analizadas, revisadas y correctamente parcheadas por parte de la empresa.
  • Los problemas sobre el canal de comunicación son los únicos que no han sido actualmente solucionados, pero que indican que en su versión 5.0 lo habrán resuelto. De todas maneras, hay que hacer entender al lector que, para llevar a cabo este tipo de ataque, se requiere de tiempo y durante el cual, además la reunión deberá de permanecer activa (para que así pueda llevarse a cabo el espionaje de la comunicación). Este tipo de ataques para reuniones cortas (depende de varios factores el descubrimiento del cifrado), no tiene sentido intentar cometerlo.

Por lo tanto, se puede considerar que, la herramienta tiene solventada la mayoría de los problemas que se le han encontrado y los problemas restantes dependen de la configuración de los usuarios (como en otras muchas ocasiones ocurre). Para permanecer en un nivel de seguridad óptimo siempre se recomienda aplicar todos las actualizaciones que provee el fabricante, ya que protegen al usuario final de los posibles problemas que pueda ocasionar la herramienta.
No queremos despedirnos sin antes recordar a los usuarios lo importante que es el mantenerse informado sobre los últimos problemas de seguridad en el mundo de la tecnología y que siempre que tenga dudas, puede consultar con su especialista A2Secure.
Autor: José Vila

Los comentarios están cerrados.