En estos días, Zoom se está sintiendo un poco Windows. Analizado por todos los frentes, diana de todos los ataques. En tres meses ha pasado de 10 millones de reuniones diarias a más de 200. Si te has perdido un poco en todos sus fallos y ataques aparecidos, hilo con resumen ¬.
Por supuesto, aprovechar el tirón mediático para robar SEO. Check Point ha detectado en los últimos tiempos hasta 1700 dominios con la palabra “Zoom”. Al menos 70 maliciosos. Y también malware (ejecutables) que han renombrado también con esa palabra.
Y ante la popularidad, oportunistas. Practicar ZoomBombing o Zoom Raid está de moda gracias a la herramienta zWarDial, que permite simplemente buscar reuniones sin contraseña (o débiles, que también sirve) y colarse en ellas. Ahora pasamos a las vulnerabilidades.
Algunas muy simples, que siempre estuvieron ahí pero nadie las había visto. Por ejemplo Zoom permitía que una ruta UNC (las que tienen \\) por el chat, al ser ser pinchada, enviase al atacante el hash NTLM de su contraseña Windows. De ser débil, podría ser crackeada. Arreglada.
Otra relacionada con la privacidad que permitía (“gracias” a una funcionalidad que facilitaba conocer el resto de correos corporativos a un usuario determinado, valiéndose de LinkedIn) ver datos personales de otros usuarios sin que realmente fueran corporativos.
Otro investigador encontró dos fallos de Zoom para Mac. Uno permitía elevar privilegios y persistir a un atacante local. Otro acceder a un programa a la cámara y micrófono aunque no los tuviera, heredando los permisos de Zoom. Esto ya se ha arreglado y recordemos que son locales.
Alguien se leyó los términos de uso y aunque explicaban en sus características que las llamadas por Zoom estaban cifradas extremo a extremo, esto no era cierto tras una simple comprobación. En Zoom lo achacan a una confusión de términos de descripción, pero no se ha arreglado.
Otro problema de privacidad: en iOS, se enviaban siempre datos de uso a Facebook. Esto ocurría desde que Zoom permitió el login con esta red social. Lo han corregido pero han sido demandados por ello.
Creo que no me dejo nada. Todos son fallos "fáciles", en el sentido de que son oportunistas o vulnerabilidades que no requieren un reversing complejo (de ahí saldrían muchas más). Todas encontrados en los primeros compases de la explosión de su popularidad.
En todo caso, al menos hay que reconocer que han dado la cara. En una entrada de blog, su CEO ha reconocido los fallos y uno por uno ha dado explicaciones más o menos detalladas. Muchos lo han arreglado rápidamente y han afirmado que se centrarán en la seguridad en lo sucesivo.
Cuando analicen a fondo la herramienta sacarán más fallos, sin duda. Esperemos que los descubran antes los dueños durante este periodo de "reflexión". A pesar de todo creo si lo hacen bien, aquí aplica aquí eso de 'There's no such thing as bad publicity'.
cybersecuritypulse.e-paths.com/index.html?lan…
cybersecuritypulse.e-paths.com/index.html?lan…
