Minggu Keamanan 15: Zoom Kerentanan Nyata dan Imajiner

Pada hari Kamis, 2 April, The Guardian membagikan angka-angka yang mengesankan pada platform konferensi web Zoom: kehadiran lalu lintas meningkat sebesar 535%. Zoom pasti lebih baik daripada pesaing dapat mengambil keuntungan dari situasi, mendapatkan pertumbuhan jika bukan dalam bentuk uang, maka tepatnya dalam popularitas dan jumlah pengguna. Alasan keberhasilan ini adalah pemasaran yang efektif (misalnya, ketersediaan opsi tarif gratis) daripada beberapa keunggulan teknis. Semuanya akan baik-baik saja jika bukan karena judul karakteristik dari artikel yang sama di The Guardian: "Zoom adalah malware."

Mari kita jelaskan: Zoom bukan malware. Ini bukan pertama kalinya perusahaan telah menarik perhatian spesialis keamanan informasi di tengah hype, tetapi diskusi minggu lalu tentang kelemahan Zoom adalah hiburan utama seluruh pihak. Singkatnya: Enkripsi zoom dapat dinegosiasikan, tetapi tidak cukup kuat, dan tentu saja tidak dapat dikualifikasikan sebagai end-to-end. Beberapa kelemahan serius dan banyak sembrono ditemukan dalam perangkat lunak. Beberapa fitur layanan menimbulkan pertanyaan tentang privasi - data yang melewati server di Cina dan integrasi dengan LinkedIn. Tidak ada yang mengerikan, tetapi sekali lagi menjadi jelas bahwa keamanan layanan digital masih bukan kunci keberhasilannya.

Mari kita mulai review dengan April Fools (tapi tidak komik) ArtikelWakil Edisi: ini berbicara tentang bug yang menyebabkan kebocoran kontak, yang secara umum, seperti yang sering terjadi, adalah fitur. Awalnya, Zoom dan cara lain untuk melakukan teleconference difokuskan secara ketat pada perusahaan: tidak ada yang berharap bahwa mereka akan memulai pesta karaoke secara online. Zoom memiliki entitas yang disebut Direktori Perusahaan: segera setelah Anda mendaftar menggunakan surat kantor, semua kontak di domain yang sama secara otomatis terlihat. Jika Anda menggunakan surat pribadi, Anda mendapatkan akses ke sejumlah besar pengguna biasa, dan nama lengkap serta alamat surat Anda tersedia untuk mereka. Untuk layanan surat populer seperti GMail atau Yahoo, ini tidak berfungsi, tetapi jika surat pribadi Anda, misalnya, diatur pada domain penyedia Internet lokal, Anda akan melihat beberapa ratus "kolega" dalam daftar kontak.

Kami melangkah lebih jauh. Dalam edisi terakhir, kami melaporkan bahwa Zoom mengirim telemetri pengguna ke Facebook, tetapi, di bawah tekanan dari publik, berhenti melakukannya. Pada 31 Maret, Zoom digugat di Amerika Serikat karena melanggar Undang-Undang Privasi Data California yang baru saja diadopsi. Layanan tersebut diduga tidak memberi tahu pengguna tentang bagaimana prosesnya dan di mana ia mengirim informasi.

Pada 2 April, New York Times melaporkanbahwa Facebook tidak terbatas pada ini. Zoom juga memiliki integrasi dengan LinkedIn, yang memungkinkan penyelenggara panggilan konferensi (dengan paket berbayar LinkedIn Sales Navigator) untuk secara otomatis menemukan profil penelepon di LinkedIn dengan alamat pos. Kedengarannya menakutkan, tetapi sebenarnya itu adalah alat pemasaran tradisional, memadai ketika bekerja di Zoom sebagai manajer penjualan dengan pelanggan perusahaan. Saat mengadakan webinar massal, ini benar-benar tampak seperti pelanggaran standar privasi: hampir tidak ada jutaan pengguna Zoom baru yang tahu tentang fitur tersebut. Namun, kami jarang menyadari skala profil di layanan digital apa pun, bahkan jika dijelaskan secara rinci dalam EULA. Fitur ini segera dihapus dari layanan.

Lebih buruk lagi. 30 Maret, spesialis keamanan terkenal Patrick Wardle menulis sebuah artikeldengan nama karakteristik "Dalam kata Zoom, huruf B adalah tentang keamanan." Dia menemukan dua kerentanan cukup berbahaya di klien Zoom untuk MacOS. Metode instalasi klien non-standar memungkinkan pengguna lokal penyandang cacat untuk mendapatkan hak akses root. Menurut peneliti, Zoom menggunakan API AuthorizationExecuteWithPrivileges, yang tidak lagi direkomendasikan untuk digunakan, untuk meminimalkan input pengguna selama instalasi. Akibatnya, file yang dapat dieksekusi (installer) diluncurkan dengan hak pengguna super tidak dicentang, dan dapat dengan mudah diganti dengan kode lain. Kerentanan kedua juga disebabkan oleh pengelakan praktik standar untuk menulis perangkat lunak aman untuk MacOS X di klien Zoom, dan hasilnya adalah potensi untuk menangkap gambar dan suara dari webcam dan mikrofon. Sekali lagi, asalkankomputer itu adalah korbansudah dikompromikan. "Jika komputer Anda diretas, maka Anda dapat melakukan apa saja di sana." Kedua kerentanan ditutup pada 2 April.

Dalam setiap publikasi tersebut, Zoom mengingat dosa-dosa masa lalu: server web yang diinstal pada macOS dengan klien dan tidak dihapus selama penghapusan (Apple harus mengeluarkan tambalan untuk memaksa server dihapus, karena secara alami rentan), dan dimasukkannya web - Kamera default saat menghubungkan ke konferensi web, dengan mekanisme yang ditemukan kemudian untuk memikat pengguna. Masalahnya telah lama diselesaikan, tetapi yang telah menjadi kesempatan untuk pernyataan seperti "Zoom selalu memiliki segalanya yang buruk dengan privasi."

Situs web BleepingComputer melaporkan kerentanan di klien Zoom untuk Windows. Pengguna dapat bertukar tautan dalam obrolan layanan, dan klien Zoom diharapkan membuat tautan dapat diklik, termasuk tautan ke folder jaringan atau bahkan file lokal, yang disebut UNC. Secara teoritis, Anda dapat membayangkan situasi di mana tautan ke server file publik dikirim ke obrolan. Ketika Anda mengkliknya, server dengan pengaturan default, Windows akan menerima nama pengguna dan kata sandi hash.

Anda dapat melangkah lebih jauh dan membayangkan situasi di mana tautan akan menyebabkan kode dieksekusi di komputer pengguna. Dalam praktiknya, serangan dapat dilakukan dalam kondisi saat ini, yang tidak standar untuk Zoom itu sendiri: ketika ada panggilan konferensi publik dengan keamanan yang dikonfigurasi dengan buruk dan audiens yang tidak dapat dipahami.

Mari kita beralih ke artileri berat. CitizenLab telah menerbitkan laporan keamanan Zoom terperinci . Ini menggambarkan "fitur" subyektif dari layanan: pengembangan di Cina, meskipun perusahaannya adalah orang Amerika; mengirim data ke server Cina bahkan ketika pelanggan tidak ada (Zoom kemudian mengenali ini sebagai kesalahan teknis ). Tetapi topik utama dari penelitian ini adalah enkripsi negosiasi, yang telah lama disebut Zoom dari ujung ke ujung. Pertama, itu tidak sepenuhnya lintas sektoral, karena tombol dihasilkan pada server Zoom. Kedua, alih-alih algoritma enkripsi AES-256 yang awalnya ditentukan dalam dokumentasi, AES-128 digunakan dalam mode ECB .

Metode enkripsi yang lebih sederhana ini, dibandingkan dengan metode enkripsi codebook kuno, mempertahankan pola data asli yang tidak dienkripsi. Ini paling baik diilustrasikan dalam tweet di atas atau dalam gambar dari Wikipedia di bawah ini: meskipun data dienkripsi, bahkan tanpa dekripsi, Anda bisa mendapatkan gagasan tentang isi dari aliran video.

Secara umum, jelas mengapa pakar keamanan tidak menyukai Zoom: di sini Anda akan memiliki perilaku yang dipertanyakan pada komputer pengguna di masa lalu (server web yang tidak dapat dihapus pada komputer Apple), dan kurangnya informasi yang dapat dipahami tentang penggunaan data pribadi, dan pertahanan yang tidak sempurna dengan menyesatkan. deskripsi. Keluhan utama: privasi pengguna bukan prioritas utama pengembang Zoom, tetapi di suatu tempat di akhir dari seratus pertama "daftar tugas". Tidak ada yang benar-benar mengerikan (seperti transfer data tanpa enkripsi) ditemukan.

Ketika membahas semua "studi," argumen juga disajikan terhadap pendekatan "sekarang kami akan menunjukkan kepada mereka", yang sedikit histeris. Ada cara standar bagi peneliti independen untuk berinteraksi dengan vendor, dan etika untuk mengungkapkan informasi kerentanan. Mengapa dalam situasi epidemi virus (bukan komputer) perlu dilakukan secara berbeda? Mungkin, sebaliknya, perlu meningkatkan waktu tunggu untuk reaksi vendor? Karena, terus terang, setiap penyedia layanan digital sekarang terutama khawatir bahwa server menahan masuknya pengguna. Akhirnya, tidak satu pun dari penemuan minggu lalu yang mengubah sikap terhadap Zoom dan layanan serupa. Untuk pesta karaoke, mereka juga bagus untuk percakapan perusahaan, meskipun ada baiknya untuk melatih karyawan dalam standar keselamatan dasar. Misalnya, unduh klien dari situs resmi, dan bukan dari mana saja.Untuk negosiasi sensitif tentang masalah rahasia, Anda perlu mencari layanan (atau meningkatkan layanan Anda sendiri) dengan audit keamanan wajib, dan tidak mengklik tautan pertama dalam pencarian Google.

Reaksi vendor, omong-omong, ternyata lebih dari cukup: pada tanggal 1 April, perusahaan mengumumkan bahwa mereka akan menangguhkan pengembangan fungsionalitas baru selama tiga bulan dan akan berurusan erat dengan perbaikan bug dan keamanan.

Apa lagi yang terjadi

Threatpost publikasi merangkum hasil survei di situs tentang privasi dalam pandemi. 25% responden siap untuk memprioritaskan kesehatan dengan mengorbankan privasi (misalnya, untuk berbagi data medis). Dan ini ada di antara hadirin, yang secara tradisional sensitif terhadap upaya data pribadi.

Kerentanan dalam Firefox dan browser Chrome ditutup . Firefox telah memperbaiki masalah serius dengan potensi eksekusi kode arbitrer, yang secara aktif digunakan dalam serangan nyata.

Perusahaan Internet representatif (Akamai, AWS, Cloudflare, Facebook) bergabungatas nama meningkatkan keamanan lalu lintas jaringan dan mengoreksi kelemahan protokol routing BGP, yang sebelumnya berulang kali mengarah pada “pembajakan lalu lintas” - mengarahkan paket data melalui gateway jaringan yang sewenang-wenang, secara tidak sengaja atau bahkan dengan sengaja.

Bug baru telah ditemukan di plugin untuk WordPress, Rank Math SEO-optimizer. Anda dapat secara jarak jauh menunjuk pengguna yang terdaftar di situs sebagai administrator, atau mengambil hak dari administrator yang sebenarnya.

American Aviation Supervision Agency (FAA) mengirimkan arahan yang mengharuskan maskapai penerbangan untuk mereset sistem kontrol Boeing 787 setidaknya sekali setiap 51 hari. Alasannya, kemungkinan besar, sama dengan kasus serupa lainnya dalam penerbangan dan tidak hanya: time counter overflow.