¡Cuidado con Zoom! flojea en privacidad y seguridad
Zoom tiene muchos problemas de seguridad y privacidad que todavía no ha arreglado, pese a su popularidad durante las últimas semanas
En pocos días y debido al confinamiento por la epidemia del coronavirus, Zoom se ha convertido en la nueva reina de las videollamadas en empresas y entre muchos teletrabajadores. La calidad del vídeo y sonido es su mejor presentación, pero detrás de ella se esconden muchos problemas de privacidad y seguridad.
Aunque zoom ya era bastante usada en las empresas de Estados Unidos y empezaba a ver un crecimiento de usuarios importante, con la llegada de millones de teletrabajadores el servicio ha explotado.
Pero Zoom ha tenido y mantiene serios problemas que pueden poner en peligro muchas empresas y que como poco deberían tenerlo en cuenta antes de elegirla como aplicación de videoconferencia.
Zoom no tiene cifrado de extremo a extremo
El cifrado de extremo a extremo es de vital importancia en todas las comunicaciones. Zoom se da a conocer como una aplicación de videollamadas donde todo está cifrado en tu ordenador y se descifra en la aplicación de la otra persona. Es decir, nadie entre medias puede ver o escuchar lo que pasa.
The Intercept ha descubierto que en realidad Zoom retuerce el concepto de «cifrado de extremo a extremo», sino que cifra el contenido en tránsito.
Es decir, Zoom cifra el contenido que llega a sus servidores, pero entre medias el contenido, como el vídeo, sonido y chats, se mantienen en abierto. Por lo tanto si alguien se infiltra en sus servidores podría tener acceso a todo.
Zoom engaña a los usuarios de macOS para dar su contraseña maestra
Felix Seele, un programador de un rastreador de malware llamado VMRay, ha dado a conocer en Twitter que el instalador de Zoom en macOS utiliza un truco para conseguir la contraseña maestra del usuario y así instalarse con ciertos privilegios que no necesita.
Zoom para macOS se descarga con un instalador. Es este instalador el que mueve los archivos a las carpetas correctas, pero para ello pide la contraseña para mover el software a lugares protegidos.
Ever wondered how the @zoom_us macOS installer does it’s job without you ever clicking install? Turns out they (ab)use preinstallation scripts, manually unpack the app using a bundled 7zip and install it to /Applications if the current user is in the admin group (no root needed). pic.twitter.com/qgQ1XdU11M
— Felix (@c1truz_) March 30, 2020
Esta es una mala práctica, innecesaria en el caso de Zoom, ya que los usuarios bien podrían descomprimir el archivo manualmente y moverlo a la carpeta Aplicaciones, como hacen el resto de programas.
La aplicación está usando un truco usado por algunos malware para macOS que se hacen pasar por aplicaciones genuinas y piden la contraseña maestra para infiltrarse en el sistema operativo.
Zoom está filtrando correos y fotos de usuarios
Zoom tiene una herramienta que permite conocer cuántos de tus compañeros de trabajo están registrados en Zoom. Para ello usa un servicio llamado «Director de empresa» y que usa el correo electrónico como identificador.
El problema es si te registras con un dominio público, puedes encontrar correos, fotos y nombres de los usuarios de la empresa registrados con el mismo correo.
Por ejemplo, si Movistar usase Zoom con los correos «@movistar.es» y tú tienes uno de los viejos correos «@movistar.es», aunque sea para uso personal, podrías estar viendo el directorio de la empresa en Zoom.
Zoom filtra contraseñas de Windows
Se ha descubierto una vulnerabilidad en la aplicación de Zoom para Windows mediante la que enviando un enlace en su chat un atacante podría conseguir el nombre de usuario y contraseña.
Se trata de una mala configuración a la hora de generar enlaces. Cuando se envía un enlace mal creado, con el formato «\\servidor.com\imagenes\imagen.jpg» Zoom lo interpreta como un enlace interno del servidor Samba, el usado para conectarse a otros ordenadores en una red local.
El problema es que el chat interpreta ese enlace y lo previsualiza, por lo tanto el atacante puede ver en su servidor el intento de acceder al servidor local con su nombre de usuario y contraseña.
Eso sí, la contraseña va protegida mediante «hashing», la cual dependiendo de su complejidad podría ser descifrada en cuestión de minutos o de horas.
+ info | The Intercept, Motherboard, Bleeping Computer
