Semana de la seguridad 15: Zoom vulnerabilidades reales e imaginarias

El jueves 2 de abril, The Guardian compartió sus impresionantes números en la plataforma de conferencias web de Zoom: la asistencia de tráfico aumentó en un 535%. Definitivamente, Zoom fue mejor de lo que los competidores pudieron aprovechar la situación, ganando crecimiento si no en dinero, y precisamente en popularidad y número de usuarios. La razón de este éxito fue la comercialización efectiva (por ejemplo, la disponibilidad de una opción de tarifa gratuita) en lugar de algunas ventajas técnicas. Todo estaría bien si no fuera por el título característico del mismo artículo en The Guardian: "Zoom es malware".

Seamos claros: Zoom no es malware. Esta no es la primera vez que las empresas atraen la atención de los especialistas en seguridad de la información a raíz de las exageraciones, pero la discusión de la semana pasada sobre los defectos de Zoom fue el principal entretenimiento de toda la fiesta. En resumen: el cifrado de zoom es negociable, pero no lo suficientemente fuerte, y ciertamente no puede calificarse como de extremo a extremo. Se descubrieron un par de vulnerabilidades graves y un montón de vulnerabilidades frívolas en el software. Un par de características del servicio generan dudas sobre la privacidad: los datos que pasan a través de un servidor en China y la integración con LinkedIn. Nada terrible, pero nuevamente queda claro que la seguridad de un servicio digital todavía no es la clave de su éxito.

Vamos a empezar el examen con una de los inocentes (pero no cómica) artículoEdiciones Vice: habla de un error que conduce a una fuga de contactos, que en general, como suele suceder, es una característica. Inicialmente, Zoom y cualquier otro medio para realizar teleconferencias se centraron estrictamente en las empresas: nadie esperaba que comenzaran fiestas de karaoke en línea. Zoom tiene una entidad llamada Directorio de empresas: tan pronto como se registre utilizando el correo de trabajo, todos los contactos en el mismo dominio serán visibles automáticamente. Si utiliza el correo personal, obtiene acceso a una gran cantidad de usuarios comunes, y su nombre completo y dirección postal están disponibles para ellos. Para servicios de correo populares como GMail o Yahoo, esto no funciona, pero si su correo personal, por ejemplo, está configurado en el dominio de un proveedor de Internet local, verá varios cientos de "colegas" en la lista de contactos.

Vamos más allá En la última edición, nos informó que estaba enviando zoom telemetría usuario a Facebook, pero, bajo la presión de la opinión pública, dejó de hacerlo. El 31 de marzo, Zoom fue demandado en los Estados Unidos por violar la Ley de Privacidad de Datos de California recientemente adoptada. El servicio supuestamente no notificó a los usuarios sobre cómo procesa y dónde envía la información.

El 2 de abril, el New York Times informóque Facebook no se limitó a esto. Zoom también se integró con LinkedIn, lo que permitió a los organizadores de llamadas de conferencia (con el paquete pagado LinkedIn Sales Navigator) encontrar automáticamente los perfiles de las personas que llaman en LinkedIn por dirección postal. Suena intimidante, pero de hecho es una herramienta de marketing tradicional, adecuada cuando se trabaja en Zoom como gerente de ventas con clientes de la empresa. Cuando se realizan seminarios web masivos, esto realmente parece una violación de los estándares de privacidad: casi ninguno de los millones de nuevos usuarios de Zoom conocen estas características. Sin embargo, rara vez nos damos cuenta de la escala de creación de perfiles en los servicios digitales, incluso si se describe en detalle en EULA. La función se eliminó rápidamente del servicio.

Más aún peor. 30 de marzo, el conocido especialista en seguridad Patrick Wardle escribe un artículocon el nombre característico "En la palabra Zoom, la letra B es sobre seguridad". Descubrió dos vulnerabilidades moderadamente peligrosas en el cliente Zoom para MacOS. El método de instalación de cliente no estándar permite que un usuario local con discapacidades obtenga privilegios de root. Según el investigador, Zoom utiliza la API AuthorizationExecuteWithPrivileges, que ya no se recomienda su uso, para minimizar la entrada del usuario durante la instalación. Como resultado, el archivo ejecutable (instalador) lanzado con derechos de superusuario no se verifica y puede reemplazarse fácilmente con cualquier otro código. La segunda vulnerabilidad también fue causada por eludir las prácticas estándar para escribir software seguro para MacOS X en el cliente Zoom, y el resultado fue la posibilidad de capturar imágenes y sonido desde una cámara web y un micrófono. De nuevo, siempreesa computadora es una víctimaYa comprometido. "Si su computadora fue pirateada, entonces puede hacer cualquier cosa en ella". Ambas vulnerabilidades están cerradas el 2 de abril.

En cada una de estas publicaciones, Zoom recuerda los pecados pasados: el servidor web que se instaló en macOS con el cliente y no se eliminó durante la desinstalación (Apple tuvo que emitir un parche para forzar la eliminación del servidor, ya que era naturalmente vulnerable) y la inclusión de la web - cámaras predeterminadas cuando se conecta a una conferencia web, con un mecanismo descubierto más tarde para atraer a un usuario. Los problemas se han resuelto durante mucho tiempo, pero se han convertido en la ocasión para declaraciones como "Zoom siempre tuvo todo lo malo con la privacidad".

El sitio web BleepingComputer informa vulnerabilidades en el cliente Zoom para Windows. Los usuarios pueden intercambiar enlaces en el chat del servicio, y el cliente de Zoom espera que haga clic en enlaces, incluidos enlaces a carpetas de red o incluso archivos locales, los llamados UNC. Teóricamente, puede imaginar una situación en la que se envía un enlace a un servidor de archivos público para chatear. Al hacer clic en él, el servidor con la configuración predeterminada, Windows recibirá un nombre de usuario y su contraseña cifrada.

Puede ir más allá e imaginar una situación en la que un enlace hará que el código se ejecute en la computadora del usuario. En la práctica, un ataque es factible en las condiciones actuales no estándar para Zoom: cuando hay llamadas de conferencia públicas con seguridad mal configurada y una audiencia incomprensible.

Pasemos a la artillería pesada. CitizenLab ha publicado un informe detallado de seguridad de Zoom. Describe las "características" subjetivas del servicio: desarrollo en China, aunque la empresa es estadounidense; enviar datos a servidores chinos incluso cuando no hay suscriptores (más tarde Zoom reconoció esto como un error técnico ). Pero el tema principal del estudio es el cifrado de negociación, que Zoom ha llamado de principio a fin. En primer lugar, no es completamente transversal, ya que las claves se generan en los servidores de Zoom. En segundo lugar, en lugar del algoritmo de cifrado AES-256 originalmente especificado en la documentación, AES-128 se usa en modo ECB .

Este método de cifrado más simple, en comparación con el antiguo método de cifrado de libro de códigos, conserva los patrones de los datos originales no cifrados. Esto se ilustra mejor en el tweet anterior o en la imagen de Wikipedia a continuación: aunque los datos están encriptados, incluso sin descifrar, puede tener una idea del contenido de la transmisión de video.

En general, está claro por qué a los expertos en seguridad no les gusta Zoom: aquí tendrá un comportamiento cuestionable en la computadora del usuario en el pasado (un servidor web no borrable en las computadoras Apple) y la falta de información inteligible sobre el uso de datos personales y defensas imperfectas con engaños. descripción. La queja principal: la privacidad del usuario no es la principal prioridad de los desarrolladores de Zoom, pero está en algún lugar al final de los primeros cien de la "lista de tareas". No se encontró nada realmente terrible (como la transferencia de datos sin cifrado).

Cuando se discuten todos estos "estudios", los argumentos también se presentan en contra del enfoque "ahora los mostraremos", que es un poco histérico. Existen formas estándar para que los investigadores independientes interactúen con el proveedor, y la ética para divulgar información de vulnerabilidad. ¿Por qué en una situación de epidemia viral (no de computadora) hay que hacerlo de manera diferente? ¿Quizás, por el contrario, vale la pena aumentar el tiempo de espera para la reacción del vendedor? Porque, francamente, a cualquier proveedor de servicios digitales ahora le preocupa principalmente que los servidores resistan la afluencia de usuarios. Finalmente, ninguno de los descubrimientos de la semana pasada cambia la actitud hacia Zoom y servicios similares. Para una fiesta de karaoke, también son excelentes para conversaciones corporativas, aunque vale la pena capacitar a los empleados en estándares básicos de seguridad. Bueno, por ejemplo, descargue el cliente desde el sitio oficial, y no desde cualquier lugar.Para negociaciones delicadas sobre asuntos secretos, debe buscar un servicio (o crear uno propio) con una auditoría de seguridad obligatoria, y no hacer clic en el primer enlace de la búsqueda de Google.

La reacción del vendedor, por cierto, resultó ser más que adecuada: el 1 de abril, la compañía anunció que suspendería el desarrollo de nuevas funcionalidades durante tres meses y se ocuparía estrechamente de la corrección de errores y la seguridad.

Que mas paso

La publicación Threatpost resumió los resultados de una encuesta en el sitio sobre la privacidad en una pandemia. El 25% de los encuestados están listos para dar prioridad a la salud a expensas de la privacidad (por ejemplo, para compartir datos médicos). Y esto se encuentra entre la audiencia, que tradicionalmente es sensible a cualquier intento de datos personales.

Las vulnerabilidades en los navegadores Firefox y Chrome están cerradas . Firefox ha solucionado serios problemas con la posible ejecución de código arbitrario, que se usa activamente en ataques reales.

Empresas representativas de Internet (Akamai, AWS, Cloudflare, Facebook) se fusionaronen nombre de mejorar la seguridad del tráfico de la red y corregir las fallas del protocolo de enrutamiento BGP, que anteriormente condujo repetidamente al "secuestro del tráfico", redirigiendo paquetes de datos a través de una puerta de enlace de red arbitraria, accidental o incluso intencionalmente.

Se ha descubierto un nuevo error en el complemento para WordPress, el optimizador SEO de Rank Math. Puede designar de forma remota a cualquier usuario registrado en el sitio como administrador, o quitarle los derechos a un administrador real.

La Agencia de Supervisión de Aviación de Estados Unidos (FAA) envió una directiva que exige a las aerolíneas restablecer los sistemas de control del Boeing 787 al menos una vez cada 51 días. La razón, muy probablemente, es la misma que en otros casos similares en la aviación y no solo: el desbordamiento del contador de tiempo.