Header Ads Widget

Ticker

6/recent/ticker-posts

Zoom corrige la falla de la cámara web para Mac, pero persisten las preocupaciones de seguridad

 

Zoom lanzó un parche esta semana para corregir una falla de seguridad en la versión para Mac de su aplicación de video chat de escritorio que podría permitir a los piratas informáticos tomar el control de la cámara web de un usuario. 

La vulnerabilidad fue descubierta por el investigador de seguridad Jonathan Leitschuh, quien publicó información al respecto en una  publicación de blog el lunes. La falla afectó potencialmente a 750.000 empresas y aproximadamente a 4 millones de personas que utilizan Zoom, dijo Leitschuh.

La falla involucra una función en la aplicación Zoom que permite a los usuarios unirse rápidamente a una videollamada con un solo clic, gracias a un enlace URL único que lanza inmediatamente al usuario a una videoconferencia. (La función está diseñada para iniciar la aplicación de forma rápida y sin problemas para una mejor experiencia de usuario). Aunque Zoom ofrece a los usuarios la opción de mantener la cámara apagada antes de unirse a una llamada, y los usuarios pueden apagar la cámara más tarde en la configuración de la aplicación, el valor predeterminado es tener la cámara encendida.

defecto de zoom
IDG

Los usuarios deben marcar esta casilla en la aplicación Zoom para cerrar el acceso a la cámara.

Leitschuh argumentó que la función podría usarse para propósitos nefastos. Al dirigir a un usuario a un sitio que contiene un enlace de unión rápida incrustado y oculto en el código del sitio, un atacante podría iniciar la aplicación Zoom, en el proceso de encender la cámara y / o el micrófono sin el permiso del usuario. Eso es posible porque Zoom también instala un servidor web cuando se descarga la aplicación de escritorio.

Una vez instalado, el servidor web permanece en el dispositivo, incluso después de que se haya eliminado la aplicación Zoom.

Después de la publicación de la publicación de Leitschuh, Zoom minimizó las preocupaciones sobre el servidor web. El martes, sin embargo, la compañía anunció que emitiría un parche de emergencia para eliminar el servidor web de los dispositivos Mac.  

    “Inicialmente, no veíamos el servidor web o la postura del video como riesgos significativos para nuestros clientes y, de hecho, sentimos que estos eran esenciales para nuestro proceso de unión sin problemas”, dijo el CISO de Zoom, Richard Farley, en una publicación de blog . "Pero al escuchar el clamor de algunos de nuestros usuarios y la comunidad de seguridad en las últimas 24 horas, hemos decidido hacer las actualizaciones a nuestro servicio". 

    Apple también lanzó una actualización "silenciosa" el miércoles que garantiza que el servidor web se elimine en todos los dispositivos Mac, según Techcrunch . Esa actualización también ayudaría a proteger a los usuarios que eliminaron el Zoom.

    Preocupaciones de los clientes empresariales

    Ha habido diversos niveles de preocupación acerca de la gravedad de la vulnerabilidad. Según Buzzfeed News , Leitschuh clasificó su gravedad en 8,5 sobre 10; Zoom calificó la falla en 3.1 después de su propia revisión.

    Irwin Lazar, vicepresidente y director de servicio de Nemertes Research, dijo que la vulnerabilidad en sí misma no debería ser una causa importante de preocupación para las empresas, ya que los usuarios notarían rápidamente que la aplicación Zoom se lanza en su escritorio.

    "No creo que esto sea muy significativo", dijo. "El riesgo es que alguien haga clic en un enlace que finge ser para una reunión, luego su cliente de Zoom lo inicia y lo conecta a la reunión". Si el vídeo se ha configurado como activado de forma predeterminada, se verá al usuario hasta que se dé cuenta de que se ha unido a una reunión sin darse cuenta. “Notarían que el cliente Zoom se activaba e inmediatamente verían que se habían unido a una reunión. 

    "En el peor de los casos, están frente a la cámara durante unos segundos antes de salir de la reunión", dijo Lazar.

    Si bien no se sabe que la vulnerabilidad en sí misma haya creado problemas, el tiempo que toma Zoom para responder al problema es más preocupante, dijo Daniel Newman, socio fundador / analista principal de Futurum Research.

    "Hay dos formas de ver esto", dijo Newman. “A partir del [miércoles], según el parche que se lanzó [el martes], la vulnerabilidad no es tan significativa.

    “Sin embargo, lo que es significativo para los clientes empresariales es cómo este problema se prolongó durante meses sin resolución, cómo los parches iniciales pudieron revertirse recreando la vulnerabilidad y ahora tener que preguntarse si este parche más nuevo será una solución permanente. ”, Dijo Newman.

    Leitschuh dijo que advirtió por primera vez a Zoom sobre la vulnerabilidad a fines de marzo, unas semanas antes de la salida a bolsa de la compañía en abril, y se le informó inicialmente que el ingeniero de seguridad de Zoom estaba "fuera de la oficina". Una solución completa solo se implementó después de que la vulnerabilidad se hizo pública (aunque se implementó una solución temporal antes de esta semana).

    “En última instancia, Zoom falló en confirmar rápidamente que la vulnerabilidad reportada realmente existía y no logró que se entregara una solución al problema a los clientes de manera oportuna”, dijo. "Una organización de este perfil y con una base de usuarios tan grande debería haber sido más proactiva a la hora de proteger a sus usuarios de los ataques".

    En un comunicado el miércoles, el director ejecutivo de Zoom, Eric S Yuan, dijo que la empresa había “juzgado mal la situación y no respondió con la suficiente rapidez, y eso depende de nosotros. Nos responsabilizamos plenamente y hemos aprendido mucho.

    "Lo que puedo decirles es que nos tomamos la seguridad de los usuarios increíblemente en serio y estamos totalmente comprometidos a hacer lo correcto por nuestros usuarios".

    RingCentral, que utiliza la tecnología de Zoom para impulsar sus propios servicios de videoconferencia, dijo que también ha abordado las vulnerabilidades en su aplicación.

    “Recientemente nos enteramos de las vulnerabilidades de video en el software RingCentral Meetings y hemos tomado medidas inmediatas para mitigar estas vulnerabilidades para cualquier cliente que pudiera verse afectado”, dijo un portavoz.

    “Al [11 de julio], RingCentral no tiene conocimiento de ningún cliente que haya sido afectado o violado por las vulnerabilidades descubiertas. La seguridad de nuestros clientes es de suma importancia para nosotros y nuestros equipos de seguridad e ingeniería están monitoreando la situación de cerca ".

    ¿Otros proveedores, fallas similares?

    Es posible que también estén presentes vulnerabilidades similares en otras aplicaciones de videoconferencia, ya que los proveedores intentan agilizar el proceso de unirse a las reuniones.

    “No he probado otros proveedores, pero no me sorprendería que tuvieran [características similares]”, dijo Lazar. "Los competidores de Zoom han estado tratando de igualar sus tiempos de inicio rápidos y su experiencia de video primero, y la mayoría de las personas ahora habilitan la capacidad de unirse rápidamente a una reunión haciendo clic en un enlace de calendario".

    Computerworld se  puso en contacto con otros proveedores líderes de software de videoconferencia, incluidos BlueJeans, Cisco y Microsoft, para preguntar si sus aplicaciones de escritorio también requieren la instalación de un servidor web como el de Zoom.

    BlueJeans dijo que su aplicación de escritorio, que también utiliza un servicio de iniciador, no puede ser activada por sitios web maliciosos y enfatizó en una publicación de blog hoy que su aplicación se puede desinstalar por completo, incluida la eliminación del servicio de iniciador.

    “La plataforma de reuniones BlueJeans no es vulnerable a ninguno de estos problemas”, dijo Alagu Periyannan, CTO y cofundador de la compañía.

    Los usuarios de BlueJeans pueden unirse a una videollamada a través de un navegador web, que "aprovecha los flujos de permisos nativos de los navegadores" para unirse a una reunión, o mediante la aplicación de escritorio.

    "Desde el principio, nuestro servicio de lanzador se implementó con la seguridad como prioridad", dijo Periyannan en un comunicado enviado por correo electrónico. “El servicio de inicio garantiza que solo los sitios web autorizados de BlueJeans (por ejemplo, bluejeans.com) puedan iniciar la aplicación de escritorio BlueJeans en una reunión. A diferencia del problema al que hace referencia [Leitschuh], los sitios web maliciosos no pueden iniciar la aplicación de escritorio BlueJeans.

    “Como un esfuerzo continuo, continuamos evaluando las mejoras en la interacción entre el navegador y el escritorio (incluida la discusión planteada en el artículo sobre CORS-RFC1918) para asegurarnos de que estamos ofreciendo la mejor solución posible para los usuarios”, dijo Periyannan. “Además, para cualquier cliente que no se sientan cómodos con el uso del servicio de iniciador, pueden trabajar con nuestro equipo de soporte para deshabilitar el iniciador para la aplicación de escritorio ".

    Un portavoz de Cisco dijo que su software Webex "no instala ni usa un servidor web local y no se ve afectado por esta vulnerabilidad".

    Y un portavoz de Microsoft dijo lo mismo, y señaló que tampoco instala un servidor web como Zoom.

    Destacando el peligro de la TI en la sombra

    Si bien la naturaleza de la vulnerabilidad de Zoom llamó la atención, para las grandes organizaciones los riesgos de seguridad son más profundos que una vulnerabilidad de software, dijo Newman. “Creo que esto es más un problema de SaaS y TI en la sombra que un problema de videoconferencia”, dijo. “Por supuesto, si algún equipo de red no está configurado y asegurado correctamente, las vulnerabilidades quedarán expuestas. En algunos casos, incluso cuando se configuran correctamente, el software y el firmware de los fabricantes pueden crear problemas que conduzcan a vulnerabilidades ".

    Zoom ha disfrutado de un éxito significativo desde su creación en 2011, con una gama de grandes clientes empresariales que incluye Nasdaq, 21 st Century Fox y Delta. Esto se ha debido en gran parte a la adopción "viral" de boca en boca entre los empleados, en lugar de implementaciones de software de arriba hacia abajo a menudo exigidas por los departamentos de TI.

    Esa forma de adopción, que impulsó la popularidad de aplicaciones como Slack, Dropbox y otras en grandes empresas, puede crear desafíos para los equipos de TI que desean un control estricto del software utilizado por el personal, dijo Newman. Cuando las aplicaciones no son examinadas por TI, esto conduce a "mayores niveles de riesgo".

    “Las aplicaciones empresariales deben tener una combinación de usabilidad y seguridad; este tema en particular muestra que Zoom se ha centrado claramente más en el primero que en el segundo ”, dijo.

    "Esta es parte de la razón por la que sigo siendo optimista con respecto a Webex Teams y Microsoft Teams", dijo Newman. “Esas aplicaciones tienden a ingresar a través de TI y son examinadas por las partes correspondientes. Además, esas empresas tienen un amplio banco de ingenieros de seguridad que se centran en la seguridad de las aplicaciones ".

    Observó la respuesta inicial de Zoom: que su "ingeniero de seguridad estaba fuera de la oficina" y no pudo responder durante varios días. "Es difícil imaginar que se tolere una respuesta similar en MSFT o [Cisco]".

    Publicar un comentario

    0 Comentarios