En las últimas semanas, el uso del software de videoconferencia Zoom se ha disparado desde que surgió como la plataforma elegida para organizar todo, desde reuniones de gabinete hasta clases de yoga en medio del brote de coronavirus en curso y el trabajo desde casa se convirtió en la nueva normalidad.
La aplicación se disparó a 200 millones de usuarios diarios desde un promedio de 10 millones en diciembre, junto con un aumento del 535 por ciento en el tráfico diario a su página de descarga en el último mes, pero también ha visto un aumento masivo en los problemas de Zoom, todos los cuales provienen de prácticas de diseño descuidadas e implementaciones de seguridad.
Es posible que Zoom nunca haya diseñado su producto más allá del chat empresarial inicialmente, pero ahora que la aplicación se usa de innumerables formas y por parte de los consumidores habituales, la empresa se enfocó en toda la gama de errores, algo que pudo evitar. hora.
Pero si este escrutinio público puede convertirlo en un producto más seguro, solo puede ser algo bueno a largo plazo.
Una lista de problemas de lavandería
El ascenso rápido y repentino de Zoom como un servicio de comunicaciones crítico lo ha llevado a ahogarse en un mar de fallas de privacidad y seguridad.
Pero, ¿Zoom es un malware?
Como informó The Guardian, algunos expertos creen que sí. Pero no, Zoom no es malware. Más bien, es una pieza de software legítimo que, desafortunadamente, está lleno de vulnerabilidades de seguridad y recién ahora lo estamos conociendo, ya que la aplicación nunca antes se analizó tan minuciosamente:
- La política de privacidad de Zoom fue criticada por permitir recopilar una gran cantidad de datos sobre sus usuarios, como videos, transcripciones y notas compartidas, y compartirlos con terceros para beneficio personal. El 29 de marzo, Zoom reforzó su política de privacidad para declarar que no utiliza datos de reuniones para ningún tipo de publicidad. Pero sí usa los datos cuando las personas visitan sus sitios web de marketing, incluidas sus páginas de inicio zoom.us y zoom.com.
- Se descubrió que la aplicación iOS de Zoom, como muchas aplicaciones que usan el SDK de Facebook, envía datos analíticos a la red social, incluso si el usuario no tiene una cuenta de Facebook vinculada. Más tarde, eliminó la función.
- Zoom estuvo bajo la lente por su función de «seguimiento de asistentes», que, cuando está habilitada, permite que un anfitrión verifique si los participantes están haciendo clic fuera de la ventana principal de Zoom durante una llamada. El 2 de abril, eliminó permanentemente la función de seguimiento de la atención de los asistentes. Un anfitrión de una reunión de Zoom puede, del mismo modo, leer mensajes de texto privados enviados durante la llamada si se graba localmente.
- investigador de seguridad Félix Seele descubrió que Zoom usa una técnica «turbia» para instalar su aplicación Mac sin la interacción del usuario usando «los mismos trucos que usa el malware macOS», lo que permite que la aplicación se instale sin que los usuarios den su consentimiento final. El 2 de abril, Zoom emitió una solución para resolver el error.
- Los investigadores descubrieron una falla en la aplicación de Windows de Zoom que la hacía vulnerable a la vulnerabilidad de inyección de ruta UNC que podría permitir a atacantes remotos robar las credenciales de inicio de sesión de Windows de las víctimas e incluso ejecutar comandos arbitrarios en sus sistemas. El 2 de abril se emitió un parche para abordar esta falla y otros dos errores informados por Patrick Wardle que permite a los malos actores obtener privilegios de root y acceder al micrófono y la cámara en macOS, lo que permite una forma de grabar reuniones de Zoom.
- Se descubrió que Zoom usaba una función de extracción de datos no revelada que hacía coincidir automáticamente los nombres y las direcciones de correo electrónico de los usuarios con sus perfiles de LinkedIn cuando iniciaban sesión, incluso si eran anónimos o usaban un seudónimo en su llamada. Si otro usuario en su reunión estaba suscrito a un servicio llamado LinkedIn Sales Navigator, podía acceder a los perfiles de LinkedIn de otros participantes en sus reuniones de Zoom sin el conocimiento o consentimiento de esos usuarios. En respuesta, Zoom ha desactivado la función.
- Vice reveló que Zoom está filtrando las direcciones de correo electrónico y las fotos de miles de usuarios y permitiendo que extraños intenten iniciar llamadas entre ellos. Esto se debe a que los usuarios con el mismo nombre de dominio en su dirección de correo electrónico (proveedores de correo electrónico no estándar que no son Gmail, Outlook, Hotmail o Yahoo!) se agrupan como si trabajaran para la misma empresa. Zoom incluyó en la lista negra estos dominios.
- El 3 de abril de 2020, el Washington Post informó que era trivial encontrar grabaciones de video realizadas en Zoom al buscar el patrón común de nombres de archivos que Zoom aplica automáticamente. Estos videos se encontraron en cubos de almacenamiento de Amazon de acceso público.
- Los investigadores crearon una nueva herramienta llamada «zWarDial» que busca ID de reuniones de Zoom abiertas y encuentra alrededor de 100 reuniones por hora que no están protegidas por ninguna contraseña.
- Se demostró que las afirmaciones de Zoom de que utiliza el cifrado de extremo a extremo para proteger las comunicaciones son engañosas. La compañía declaró que en una reunión en la que cada participante usa un cliente Zoom y que no se graba, todo tipo de contenido (video, audio, pantalla compartida y chat) se cifra en el lado del cliente y nunca se descifra hasta que llega a los demás receptores. Pero si uno de los servicios de valor agregado, como la grabación en la nube o la telefonía de acceso telefónico, está habilitado, Zoom tiene acceso a las claves de descifrado, que actualmente mantiene en la nube. Esto también facilita que «los piratas informáticos o una agencia de inteligencia del gobierno obtengan acceso a esas claves», dijo el experto en seguridad Matthew Green.
- La investigación posterior de Citizen Lab descubrió que también eran imprecisos sobre el tipo de cifrado utilizado, con las claves generadas para las operaciones criptográficas «entregadas a los participantes en una reunión de Zoom a través de servidores en China, incluso cuando todos los participantes de la reunión y la empresa del suscriptor de Zoom, están fuera de China». El audio y el video en cada reunión de Zoom se cifra y descifra con un único AES-128 utilizado en modo ECB que se comparte entre todos los participantes. No se recomienda el uso del modo ECB porque los patrones presentes en el texto sin formato se conservan durante el cifrado.
- El CEO de Zoom, Eric S. Yuan, respondió a los hallazgos de Citizen Lab y afirmó que, dado el período de alto tráfico, se vieron obligados a agregar capacidad de servidor rápidamente y «en nuestra prisa, agregamos por error nuestros dos centros de datos chinos a una larga lista blanca de puentes de respaldo, potencialmente permitir que los clientes no chinos, en circunstancias extremadamente limitadas, se conecten a ellos».
- Luego está Zoombombing, donde los trolls aprovechan las reuniones abiertas o sin protección y las configuraciones predeterminadas deficientes para compartir pantalla y transmitir pornografía u otro material explícito. El FBI emitió una advertencia, instando a los usuarios a ajustar su configuración para evitar el secuestro de videollamadas. A partir del 4 de abril, Zoom comenzó a habilitar la función Sala de espera (que permite al anfitrión controlar cuándo un participante se une a la reunión) y solicitó a los usuarios que ingresen una contraseña de reunión para evitar un abuso desenfrenado.
¿Deberías usar Zoom o no?
Para dar crédito donde corresponde, Zoom respondió en gran medida a estas divulgaciones de manera rápida y transparente, y ya solucionó una serie de problemas destacados por la comunidad de seguridad.
Además, la compañía ha anunciado una congelación de 90 días en el lanzamiento de nuevas funciones para «identificar, abordar y solucionar problemas de manera proactiva». También tiene como objetivo realizar una revisión exhaustiva con expertos externos y publicar un informe de transparencia que detalla la información relacionada con las solicitudes de aplicación de la ley de datos, registros o contenido.
En última instancia, todo se reduce a esto: ¿debería seguir usando Zoom? Sería fácil ver todos estos defectos y decir que las personas simplemente deberían mantenerse alejadas de Zoom. Pero no es tan simple.
Curiosamente, por primera vez, estamos presenciando diferentes opiniones de expertos en la comunidad de ciberseguridad. Algunos dicen que está mal criticar Zoom en esta fase crítica de tiempo cuando el software está ayudando a las personas a hacer su trabajo de forma remota, mientras que otros creen que es mejor abandonar la plataforma para otras alternativas.
Sin embargo, algunos también adoptaron una postura neutral y concluyeron que elegir Zoom depende totalmente de las preferencias de cada individuo. modelo de amenaza.
El hecho de que Zoom haya diseñado e implementado su propio cifrado es una señal de alerta importante, ya que los esquemas personalizados no se someten al mismo escrutinio y revisión por pares a los que están sujetos los estándares de cifrado que todos usamos hoy en día.
«Los problemas de seguridad más destacados con Zoom rodean las funciones deliberadas diseñadas para reducir la fricción en las reuniones, que también, por diseño, reducen la privacidad o la seguridad», escribió Citizen Lab en su informe.
Lo más importante para los usuarios regulares es simplemente pensar detenidamente en sus necesidades de seguridad y privacidad para cada llamada que realizan. Es probable que la seguridad de Zoom sea suficiente si es solo para conversaciones informales o para realizar eventos sociales y organizar conferencias.
Para todo lo demás que requiera compartir información confidencial, existen opciones más seguras como Jitsi, Signal y Wire autohospedados.
Citizen Lab, que ha identificado un grave problema de seguridad con la función Sala de espera de Zoom, ha alentado a los usuarios a usar la función de contraseña para un «nivel más alto de confidencialidad que las salas de espera».
Entonces, si le preocupa que lo bombardeen con Zoom, establezca una contraseña de reunión y bloquee una reunión una vez que todos los que necesitan unirse se hayan unido. Para obtener más consejos sobre cómo hacer que las llamadas de Zoom sean seguras, puede leer la guía práctica de EFF aquí.