Después de todo, es posible que Zoom no sea la herramienta de videoconferencia más segura, ya que investigadores de ciberseguridad descubrieron recientemente dos errores que atacan a sus servidores. Según los expertos, estas vulnerabilidades afectan tanto a los clientes como a los servidores MMR en particular. Sin embargo, recientemente, la compañía activó el ASLR después del parche.
Errores de ‘ataque sin clic’ en Zoom
Según un análisis Realizada por Natalie Silvanovich de Project Zero, la plataforma de videollamadas contiene fallas de seguridad. Basándose en la investigación, se inspiraron en las explotaciones sin clic durante la demostración de Pwn2Own.
Silvanovich reveló que las dos vulnerabilidades apuntaban a enrutadores multimedia Zoom (MMR) y clientes Zoom. Hubo otro en forma de fuga de datos del servidor MMR.
“En el pasado, no había dado prioridad a la revisión de Zoom porque creía que cualquier ataque contra un cliente de Zoom requeriría múltiples clics por parte de un usuario”, explicó Natalie.
Añadió que no es tan difícil llevar a cabo un ataque que convenza a un usuario de unirse a una videoconferencia de Zoom que requiere muchos clics. Esto abre algunas posibilidades para las organizaciones que suelen utilizar la plataforma para reuniones.
Como tal, el investigador notó que faltaba la aleatorización del diseño del espacio de direcciones (ASLR). Este importante componente de seguridad protegerá el sistema contra interrupciones de la memoria.
Además, Silvanovich escribió que ASLR es muy importante para detener la posible explotación de la corrupción de la memoria. También concluyó que no había ninguna razón clara por la que debería desactivarse en primer lugar.
Silvanovich admitió no haber completado la cadena de ataque completa a Zoom. De todos modos, sospechaba mucho que esto pudiera suceder en manos de un “atacante decidido” que tiene más tiempo e “inversión suficiente” en sus manos.
La verificación de seguridad en Zoom es difícil
Por ZDNet’Según el informe, Zoom activó ASLR después de parchear dichas vulnerabilidades el pasado 24 de noviembre de 2021. Sin embargo, hay otra cosa que preocupa al equipo de Project Zero.
Según los expertos en seguridad, Zoom tiene una naturaleza “cerrada”, lo que dificulta la realización de investigaciones de seguridad. Esto se debe a que la herramienta de videoconferencia excluye WebRTC y otros componentes de código abierto.
Silvanovich señaló que estos desafíos planteados a Zoom obstaculizan su investigación de estos errores. Creía que la plataforma podría mejorar su accesibilidad para los analistas de seguridad que quieran comprobar sus fallos de seguridad y otros aspectos.
Por qué Zoom plantea peligros para los usuarios
En 2020, Tech Times informó que las autoridades de Nueva York investigaron la aplicación de teleconferencia luego de informes de que supuestamente vendía los datos de los usuarios a plataformas de terceros. Además, Zoom también enfrentó acusaciones sobre la presencia de trolls y extraños durante las reuniones.
En ese momento, el director ejecutivo de Zoom, Eric Yuan, respondió a estas acusaciones y afirmó que estaban al tanto de las quejas. Después de señalar la importancia de la privacidad del cliente, escribió que estaban pensando en erradicar FB SDK en su cliente basado en Apple.
El año pasado, también escribimos que algunos consultores de ciberseguridad estaban preocupados por la función de compartir pantalla de Zoom. Según ellos, esta función podría filtrar información confidencial de los usuarios sin que ellos lo sepan.
Este artículo es propiedad de Tech Times.
ⓒ 2023 . .
