Security Week 15: Zoom sur les vulnérabilités réelles et imaginaires

Jeudi 2 avril, The Guardian a partagé ses chiffres impressionnants sur la plateforme de conférence Web de Zoom: la fréquentation du trafic a augmenté de 535%. Certainement, Zoom était meilleur que les concurrents ne pouvaient profiter de la situation, gagnant de la croissance sinon en argent, puis précisément en popularité et en nombre d'utilisateurs. La raison de ce succès était une commercialisation efficace (par exemple, la disponibilité d'une option tarifaire gratuite) plutôt que certains avantages techniques. Tout irait bien sans le titre caractéristique du même article dans The Guardian: "Zoom is malware."

Soyons francs: Zoom n'est pas un malware. Ce n'est pas la première fois que les entreprises attirent l'attention de spécialistes de la sécurité de l'information dans le sillage du battage médiatique, mais la discussion de la semaine dernière sur les défauts de Zoom a été le principal divertissement de tout le parti. En bref: le chiffrement Zoom est négociable, mais pas assez fort, et ne peut certainement pas être qualifié de bout en bout. Quelques vulnérabilités sérieuses et un tas de vulnérabilités futiles ont été découvertes dans le logiciel. Quelques fonctionnalités du service soulèvent des questions concernant la confidentialité - les données transitant par un serveur en Chine et l'intégration avec LinkedIn. Rien de terrible, mais là encore, il devient clair que la sécurité d'un service numérique n'est toujours pas la clé de son succès.

Commençons l'examen avec un Fools Avril (mais pas comique) l' articleEditions Vice: il s'agit d'un bug entraînant une fuite de contacts, qui en général, comme cela arrive souvent, est une fonctionnalité. Initialement, Zoom et tout autre moyen de mener des téléconférences étaient strictement axés sur les entreprises: personne ne s'attendait à ce qu'ils lancent des soirées karaoké en ligne. Zoom possède une entité appelée Annuaire de l'entreprise: dès que vous vous inscrivez à l'aide de votre messagerie professionnelle, tous les contacts sur le même domaine sont automatiquement visibles. Si vous utilisez le courrier personnel, vous avez accès à un grand nombre d'utilisateurs ordinaires, et votre nom complet et votre adresse postale sont à leur disposition. Pour les services de messagerie populaires tels que GMail ou Yahoo, cela ne fonctionne pas, mais si votre courrier personnel, par exemple, est configuré sur le domaine d'un fournisseur Internet local, vous verrez plusieurs centaines de «collègues» dans la liste de contacts.

Nous allons plus loin. Dans le dernier numéro, nous avons signalé que Zoom envoyait la télémétrie des utilisateurs à Facebook, mais, sous la pression du public, a cessé de le faire. Le 31 mars, Zoom a été poursuivi aux États-Unis pour avoir violé la loi californienne sur la confidentialité des données récemment adoptée. Le service n'aurait prétendument pas informé les utilisateurs de la façon dont il traite et de l'endroit où il envoie des informations.

Le 2 avril, le New York Times a rapportéque Facebook ne se limitait pas à cela. Zoom a également été intégré à LinkedIn, ce qui a permis aux organisateurs de téléconférences (avec le package payant LinkedIn Sales Navigator) de trouver automatiquement les profils des appelants sur LinkedIn par adresse postale. Cela peut sembler intimidant, mais en fait c'est un outil de marketing traditionnel, adéquat lorsque vous travaillez chez Zoom en tant que directeur des ventes avec les clients de l'entreprise. Lorsque vous organisez des webinaires de masse, cela ressemble vraiment à une violation des normes de confidentialité: presque aucun des millions de nouveaux utilisateurs de Zoom ne connaît ces fonctionnalités. Cependant, nous réalisons rarement l'ampleur du profilage dans les services numériques, même si elle est décrite en détail dans le CLUF. La fonctionnalité a été rapidement supprimée du service.

Pire encore. Le 30 mars, le célèbre spécialiste de la sécurité Patrick Wardle écrit un articleavec le nom caractéristique "Dans le mot Zoom, la lettre B parle de sécurité." Il a découvert deux vulnérabilités modérément dangereuses dans le client Zoom pour MacOS. La méthode d'installation client non standard permet à un utilisateur local handicapé d'obtenir des privilèges root. Selon le chercheur, Zoom utilise l'API AuthorizationExecuteWithPrivileges, dont l'utilisation n'est plus recommandée, pour minimiser les entrées de l'utilisateur lors de l'installation. Par conséquent, le fichier exécutable (programme d'installation) lancé avec les droits de superutilisateur n'est pas vérifié et il peut être facilement remplacé par n'importe quel autre code. La deuxième vulnérabilité a également été causée par le contournement des pratiques standard pour l'écriture de logiciels sécurisés pour MacOS X dans le client Zoom, et le résultat a été le potentiel de capture d'image et de son à partir d'une webcam et d'un microphone. Encore une fois, à conditioncet ordinateur est une victimedéjà compromis. "Si votre ordinateur a été piraté, vous pouvez tout faire." Les deux vulnérabilités sont fermées le 2 avril.

Dans chacune de ces publications, Zoom rappelle les péchés passés: le serveur Web installé sur macOS avec le client et qui n'a pas été supprimé lors de la désinstallation (Apple a dû émettre un correctif pour forcer la suppression du serveur, car il était naturellement vulnérable), et l'inclusion du Web - caméras par défaut lors de la connexion à une conférence Web, avec un mécanisme découvert ultérieurement pour attirer un utilisateur. Les problèmes ont été résolus depuis longtemps, mais qui sont devenus l'occasion de déclarations comme "Zoom a toujours eu tout mauvais avec la vie privée."

Le site Web BleepingComputer signale des vulnérabilités dans le client Zoom pour Windows. Les utilisateurs peuvent échanger des liens dans le chat du service, et le client Zoom rend normalement les liens cliquables, y compris des liens vers des dossiers réseau ou même des fichiers locaux, les soi-disant UNC. En théorie, vous pouvez imaginer une situation où un lien vers un serveur de fichiers public est envoyé pour discuter. Lorsque vous cliquez dessus, le serveur avec les paramètres par défaut, Windows recevra un nom d'utilisateur et son mot de passe haché.

Vous pouvez aller plus loin et imaginer une situation dans laquelle un lien entraînera l'exécution de code sur l'ordinateur de l'utilisateur. Dans la pratique, une attaque est réalisable dans les conditions non standard actuelles de Zoom lui-même: lorsqu'il y a des conférences téléphoniques publiques avec une sécurité mal configurée et un public incompréhensible.

Passons à l'artillerie lourde. CitizenLab a publié un rapport de sécurité Zoom détaillé . Il décrit les "caractéristiques" subjectives du service: développement en Chine, bien que la société soit américaine; envoyer des données à des serveurs chinois même lorsque les abonnés ne sont pas là (plus tard, Zoom a reconnu cela comme une erreur technique ). Mais le sujet principal de l'étude est le chiffrement des négociations, que Zoom a longtemps appelé de bout en bout. Premièrement, il n'est pas complètement transversal, car les clés sont générées sur les serveurs Zoom. Deuxièmement, au lieu de l'algorithme de chiffrement AES-256 initialement spécifié dans la documentation, AES-128 est utilisé en mode ECB .

Cette méthode de chiffrement plus simple, par rapport à l'ancienne méthode de chiffrement du livre de codes, préserve les modèles des données non chiffrées d'origine. Ceci est mieux illustré dans le tweet ci-dessus ou dans l'image de Wikipédia ci-dessous: bien que les données soient cryptées, même sans décryptage, vous pouvez avoir une idée du contenu du flux vidéo.

En général, il est clair pourquoi les experts en sécurité n'aiment pas Zoom: ici, vous aurez un comportement douteux sur l'ordinateur de l'utilisateur dans le passé (un serveur Web non supprimable sur les ordinateurs Apple), et le manque d'informations intelligibles sur l'utilisation des données personnelles et des défenses imparfaites avec des informations trompeuses la description. Le principal reproche: la confidentialité des utilisateurs n'est pas la principale priorité des développeurs de Zoom, mais se situe quelque part à la fin des cent premières de la «liste des tâches». Rien de vraiment terrible (comme le transfert de données sans cryptage) n'a été trouvé.

Lors de l'examen de toutes ces «études», des arguments sont également présentés contre l'approche «maintenant, nous allons les montrer», qui est légèrement hystérique. Il existe des moyens standard pour les chercheurs indépendants d'interagir avec le fournisseur et une éthique pour divulguer les informations sur les vulnérabilités. Pourquoi dans une situation d'épidémie virale (et non informatique) doit-on procéder différemment? Peut-être, au contraire, vaut-il la peine d'augmenter le temps d'attente pour la réaction du vendeur? Car, franchement, tout fournisseur de services numériques est désormais principalement préoccupé par le fait que les serveurs résistent à l'afflux d'utilisateurs. Enfin, aucune des découvertes de la semaine dernière ne change d'attitude envers Zoom et les services similaires. Pour une soirée karaoké, ils sont également parfaits pour les conversations d'entreprise, bien qu'il soit utile de former les employés aux normes de sécurité de base. Eh bien, par exemple, téléchargez le client depuis le site officiel, et non depuis n'importe où.Pour les négociations sensibles sur des questions secrètes, vous devez rechercher un service (ou augmenter le vôtre) avec un audit de sécurité obligatoire, et ne pas cliquer sur le premier lien dans la recherche Google.

Soit dit en passant, la réaction du fournisseur s'est avérée plus que suffisante: le 1er avril, la société a annoncé qu'elle suspendrait le développement de nouvelles fonctionnalités pendant trois mois et traiterait étroitement les correctifs de bogues et la sécurité.

Que s'est-il passé d'autre

La publication Threatpost résume les résultats d'une enquête sur le site concernant la confidentialité en cas de pandémie. 25% des répondants sont prêts à donner la priorité à la santé au détriment de la vie privée (par exemple, pour partager des données médicales). Et c'est parmi le public, qui est traditionnellement sensible à toute tentative de données personnelles.

Les vulnérabilités des navigateurs Firefox et Chrome sont fermées . Firefox a corrigé de graves problèmes avec l'exécution potentielle de code arbitraire, qui sont activement utilisés dans les attaques réelles.

Les sociétés Internet représentatives (Akamai, AWS, Cloudflare, Facebook) ont fusionnéau nom de l'amélioration de la sécurité du trafic réseau et de la correction des failles du protocole de routage BGP, qui conduisaient auparavant à plusieurs reprises à un «détournement de trafic» - redirigeant les paquets de données via une passerelle réseau arbitraire, accidentellement ou même intentionnellement.

Un nouveau bug a été découvert dans le plugin pour WordPress, Rank Math SEO-optimizer. Vous pouvez nommer à distance n'importe quel utilisateur enregistré sur le site en tant qu'administrateur, ou retirer les droits d'un véritable administrateur.

L'American Aviation Supervision Agency (FAA) a envoyé une directive obligeant les compagnies aériennes à réinitialiser les systèmes de contrôle du Boeing 787 au moins une fois tous les 51 jours. La raison, très probablement, est la même que dans d'autres cas similaires dans l'aviation et pas seulement: le débordement du compteur de temps.