Un investigador de seguridad descubrió una falla en la popular aplicación de videoconferencia Zoom que podría usarse para encender la cámara en un ordenador Macintosh sin el permiso de un usuario.
La vulnerabilidad permite que cualquier sitio web se una a un usuario para una llamada de Zoom, con su cámara de video activada, sin el permiso del usuario, explicó Jonathan Leitschuh en una publicación publicada el lunes en Medium.
Leitschuh es ingeniero sénior de software en Gradle, un proyecto de software de código abierto con sede en San Francisco. Su artículo muestra cómo incrustar código en un sitio web para que cualquier usuario de Zoom que llegue allí se conecte instantáneamente a una reunión de Zoom con sus cámaras de video en funcionamiento.
El código podría usarse en un anuncio malicioso o en una campaña de phishing, relató.
Control total del usuario
Zoom contradijo algunas de las conclusiones de Leitschuh en un mensaje publicado el lunes por el Director de Información Richard Farley, incluida la afirmación de que el anfitrión de una reunión podría activar el video de un participante de forma predeterminada.
Farley escribió que los anfitriones o los participantes no pueden anular la configuración de audio y video de un usuario. Eso incluye encender o apagar una cámara.
Sería difícil para los usuarios deshonestos ocultar su participación en una reunión, sostuvo Farley.
«Debido a que la interfaz de usuario del cliente Zoom se ejecuta en primer plano al iniciarse, sería evidente para el usuario que se había unido involuntariamente a una reunión y que podían cambiar su configuración de video o irse de inmediato», escribió.
Zoom no había visto una sola instancia de la vulnerabilidad de Leitschuh siendo explotada en la naturaleza, escribió Farley.
Sin embargo, en la próxima actualización de Zoom, los usuarios podrán aplicar las configuraciones que usaron para su primera sesión de Zoom a todas las sesiones futuras automáticamente, anotó.
El propósito de Zoom tras bastidores
Leitschuh también descubrió que la vulnerabilidad que descubrió podría usarse para lanzar un ataque de denegación de servicio en una máquina individual. Permitiría el envío de convocatorias de reunión repetidas a una Mac, lo que eventualmente lo bloquearía.
«No tenemos indicios de que esto haya sucedido», escribió Farley.
Sin embargo, reconoció que la compañía lanzó una solución para el problema en mayo, aunque Zoom no obligó a sus usuarios a actualizarse porque era una vulnerabilidad empírica de bajo riesgo.
Leitschuh fue crítico con la instalación de Zoom del código del servidor web para permitir a su cliente actualizar e instalar nuevas versiones de sí mismo. Ese código permanece en una máquina incluso si Zoom se desinstala de una computadora.
«Al hacer que todos los usuarios de Zoom tengan un servidor web que acepte solicitudes HTTP GET de que el código de activación fuera del entorno limitado del navegador está pintando un objetivo enorme en la parte posterior de Zoom», escribió.
Leitschuh no está solo en su crítica de Zoom.
«Dejar un servidor en funcionamiento incluso después de la desinstalación es inaceptable», dijo Martin Hron, investigador de seguridad de Avast , con sede en Praga, República Checa. Avast fabrica software de seguridad, incluidos programas antivirus para Mac.
Uso de UX débil
El servidor web con funcionalidad limitada fue una solución para adaptarse a los cambios realizados en Safari 12, explicó Farley. Esos cambios requerían que los usuarios confirmaran que querían iniciar el cliente de Zoom cada vez que se unían a una reunión. El servidor web local permite a los usuarios unirse a reuniones directamente sin pasar por ese paso.
«Creemos que esta es una solución legítima para un problema de mala experiencia de usuario, permitiendo a nuestros usuarios tener reuniones más rápidas con un solo clic para unirse», escribió Farley.
«No estamos solos entre los proveedores de videoconferencia en la implementación de esta solución», agregó.
Farley reconoció que no hay una manera fácil de eliminar tanto el cliente Zoom como la aplicación del servidor web en una Mac, reconoció Farley, pero agregó que para este fin de semana se espera una nueva aplicación para desinstalar ambos archivos.
Hasta ese momento, los usuarios deben desactivar la configuración que enciende la cámara al unirse a una reunión, así como evitar que un navegador abra automáticamente la aplicación Zoom para los enlaces de Zoom, dijo Hron de Avast.
El tema de la privacidad se ha vuelto una pesadilla
La vulnerabilidad podría ser una mala noticia para los usuarios de Mac de Zoom, que suman más de 4 millones, según Leitschuh.
«Aunque la mayoría de los usuarios de Zoom están en la empresa, siguen siendo consumidores, y esta vulnerabilidad podría resultar en una pesadilla de privacidad si sus computadoras de trabajo se usan en casa o por motivos personales», dijo Hron.
«Cualquier sitio web puede activar el cliente Zoom con la alimentación de video habilitada, lo que esencialmente podría convertir una sesión de navegación informal en una seria invasión de la privacidad en el hogar», explicó.
Tener su cámara y audio habilitados en su Mac sin su conocimiento puede crear una serie de escenarios con malos resultados, sugirió Greg Young, vicepresidente de Ciberseguridad de Trend Micro , un proveedor de soluciones de ciberseguridad con sede en Tokio.
«Uno de esos resultados podría ser el uso del video capturado o las capturas de pantalla para el chantaje», señaló.
«Otra es cuando ingresamos la información de la tarjeta de crédito en línea, todos sostenemos la tarjeta frente a nosotros en vista de la cámara, y generalmente la volteamos al menos una vez», dijo Young.
Las empresas también deberían estar preocupadas, señaló Adam Kujawa, director de laboratorio de Malwarebytes , un fabricante de software antimalware con sede en Santa Clara, California, para Microsoft Windows, macOS, Android e iOS.
«Si se puede espiar cualquier cosa que se diga y se muestre en la cámara, eso puede ser muy peligroso para una compañía con una gran cantidad de propiedad intelectual que ocultar», puntualizó.
Kujawa dijo que la falla sería difícil para los delincuentes cibernéticos en cualquier forma efectiva, pero la facilidad de la explotación podría provocar travesuras.
«Simplemente envíe un correo electrónico convincente con un enlace que apunte a un servidor localhost y espere a que los usuarios hagan clic», observó, «o lo compartan en las redes sociales».
Es una práctica en la industria dar a un fabricante de software 90 días para corregir las fallas encontradas por los cazadores de errores.
«Desafortunadamente, Zoom no ha solucionado esta vulnerabilidad en la ventana de divulgación asignada de 90 días que les di, como es el estándar de la industria», escribió Leitschuh. «Los más de cuatro millones de usuarios de Zoom en Mac ahora son vulnerables a una invasión de su privacidad al usar este servicio»
Son muy espiadores, igual le voy a poner el culo cagando que me lo espien
Hacen con nosotros lo que quieren
No te puedes fiar de ninguna compañia, son todas unas corruptas al servicio de Estados Unidos
?
Me encanta es una pasada