Check Point Research dice que descubrió qué números aleatorios eran llamadas válidas de Zoom
Fuente: The Verge. Kim Lyons 28 de enero de 2020.
Getty Images / iStockphoto
La compañía de investigación de ciberseguridad Check Point Research dice hoy en un informe que encontró fallas de seguridad en la plataforma de videoconferencia Zoom que habrían permitido que un hacker potencial se uniera a una reunión de video sin invitación y escuchara, potencialmente accediendo a cualquier archivo o información compartida durante la reunión. Si bien Zoom ha abordado el problema, el informe plantea preocupaciones más profundas sobre la seguridad de las aplicaciones de videoconferencia que requieren acceso a micrófonos y cámaras.
Cada llamada de Zoom tiene un número de identificación generado aleatoriamente de entre 9 y 11 dígitos que los participantes usan como un tipo de dirección para localizar y unirse a una llamada específica. Los investigadores de Check Point encontraron una manera de predecir cuáles eran reuniones válidas aproximadamente el 4 por ciento de las veces, y pudieron unirse a algunas, dice Yaniv Balmas, jefe de investigación cibernética de Check Point. (No se sumergieron en las reuniones ellos mismos, subrayó Balmas. Más bien, terminaron las llamadas en las pantallas de la “sala de espera”).
“Era algo así como la ruleta Zoom”, dijo Balmas a The Verge. “Las implicaciones serían, si tienes un chat de video y te unes a varios miembros, es posible que no notes si alguien que se supone que no está allí te está escuchando”.
Dado que las llamadas de conferencia de Zoom pueden acomodar a “decenas de miles” de participantes en una reunión, según la IPO de mayo de la compañía, no sería difícil para un atacante colarse sin previo aviso en una llamada de Zoom si no hubiera medidas de detección establecidas.
Check Point no encontró una manera de conectar una ID de reunión de Zoom con un usuario específico. Entonces, incluso si un mal actor obtuviera acceso a una reunión aleatoria, no sabrían necesariamente de quién era antes de unirse a la llamada. Los investigadores no encontraron que alguien que acceda a una reunión de Zoom tenga acceso a las cámaras o micrófonos de otros usuarios.
Check Point reveló la vulnerabilidad a Zoom y dice que la compañía respondió rápidamente para solucionar el problema. Reemplazó la generación aleatoria de números de ID de reunión por una “criptográficamente fuerte”, agregó más dígitos a los números de ID de reunión e hizo que las contraseñas requeridas fueran las predeterminadas para futuras reuniones. (Sin embargo, una llamada de Zoom con Check Point para analizar la investigación no me obligó a ingresar una contraseña antes de unirme).
Ya no es posible buscar identificaciones de reuniones aleatorias como lo hicieron los investigadores de Check Point; cada intento de unirse cargará una página de reunión, y los intentos repetidos de intentar buscar las ID de la reunión bloqueará temporalmente ese dispositivo de la plataforma.
Un portavoz de Zoom dijo que el problema que Check Point identificó fue abordado en agosto, y agregó que la privacidad y seguridad de sus usuarios era su máxima prioridad. “Agradecemos al equipo de Check Point por compartir sus investigaciones y colaborar con nosotros”, dijo la compañía.
Zoom, con sede en San José, fundada en 2011, tiene una capitalización de mercado de poco menos de $ 20 mil millones y clientes en más de 180 países. La compañía dijo durante su anuncio de ganancias del tercer trimestre el mes pasado que su base de clientes incluía 74,000 negocios de tamaño significativo, medidos como un negocio con más de 10 empleados.
El verano pasado, el investigador de seguridad Jonathan Leitschuh descubrió una vulnerabilidad de día cero en Zoom en Macs que podría haber permitido que un mal actor secuestrara la cámara de un usuario y la transmisión en vivo. La compañía finalmente dejó de usar el servidor web local que creó la vulnerabilidad, pero no después de defenderlo primero como una situación de “bajo riesgo”.
Balmas dijo que los investigadores de Check Point se centraron específicamente en Zoom y sus números de identificación de la reunión y no investigaron si la vulnerabilidad estaría presente en otros programas de video chat como Google Hangouts o Skype. Pero advirtió que cualquier plataforma de videoconferencia tiene riesgos inherentes, incluso si los usuarios toman las precauciones de seguridad necesarias.
“No miramos [otras plataformas de videoconferencia], pero lo que encontramos aquí es un agradecimiento”, dijo. “Debe estar atento a este tipo de cosas, a las formas en que los usuarios no autorizados pueden obtener acceso, a cualquier aplicación que tenga acceso a su micrófono o cámara”.