Parchan la vulnerabilidad de día cero que exponía las cámaras y micrófonos de los usuarios de Zoom

Zoom y Apple están solucionando un problema de seguridad en el servicio de videoconferencias Zoom, que dejó a millones de usuarios expuestos a ataques que permiten a terceras personas acceder a los micrófonos y cámaras web de sus víctimas.

La vulnerabilidad fue descubierta por el investigador de seguridad Jonathan Leitschuh, que la definió como una vulnerabilidad “de día cero”. Es decir, que hasta entonces era desconocida tanto para los usuarios como para el fabricante y las empresas involucradas.

Leitschuh indicó que la vulnerabilidad afectaba a los dispositivos Macintosh y Windows que tenían instalada la aplicación para escritorio.

La vulnerabilidad se encontraba en la arquitectura de Zoom, que mantiene encendida la cámara de sus usuarios por defecto, incluso cuando no se encuentran en una reunión. También tiene una función para unirse de forma automática a las reuniones, lo que abre la posibilidad de que, si visita un sitio web comprometido, pueda iniciar una reunión y ofrecer a todos los que forman parte de ella acceso a su cámara y micrófonos sin su conocimiento.

Zoom dijo que estas características fueron diseñadas para facilitar el uso de la aplicación, como “una solución legítima a malas experiencias de los usuarios, que permite que nuestros usuarios tengan reuniones fáciles a las que puedan unirse con un solo click, que es lo que distingue a Zoom de los demás productos”, explicó la compañía.

Esta respuesta no satisfizo a Leitschuh, que acusó a Zoom de “pintar un gran blanco en su espalda”. “En primer lugar, tener una aplicación instalada que ejecuta un servidor web en mi equipo local con APIs que no tienen ningún tipo de validación me parece muy sospechoso. En segundo lugar, el hecho de que cualquier sitio web que visite pueda interactuar con este servidor web que está ejecutándose en mi equipo es una gran señal de alarma para mí como investigador de seguridad”, dijo Leitschuh.

De hecho, el mal uso de estas funcionalidades permite que atacantes realicen videoconferencias falsas que activen el micrófono y cámara de los usuarios y compartan esta información en un servidor secreto. También podrían usar los dispositivos que habían instalado la aplicación para lanzar ataques de negación de servicio y, por si fuera poco, volver a instalar Zoom si el usuario decide eliminarlo; todo esto sin el conocimiento del usuario.

El investigador de seguridad dijo que había informado a Zoom sobre la vulnerabilidad en marzo de este año, pero que la compañía respondió con un parche para una falla diferente, que permitía a los hackers iniciar un bucle de solicitudes de reuniones. Zoom se comprometió a publicar un parche de emergencia esta semana y lo hizo, pero Apple no lo consideró suficiente considerando que muchos de los usuarios de la aplicación ya la han eliminado y podrían no instalar los parches. Por esa razón, Apple también lanzó su propio parche para la vulnerabilidad y la instalará de forma automática.

No se han registrado ataques que exploten esta vulnerabilidad, pero Leitschuh cree que esto no significa que no hayan ocurrido: “Hay videoconferencias todo el tiempo. Millones cada día. No tenemos ninguna manera determinar mirando los registros si los usuarios se unieron a las reuniones de forma intencional o si lo hicieron por medio de algún engaño”.

La compañía dejó de publicar datos de sus clientes en 2015, pero en aquel entonces dijo que más de 40 millones de personas habían participado en reuniones de Zoom, incluyendo organizaciones que manejan información delicada, como los Centros de Control y Prevención de Enfermedades, el Departamento de Seguridad Nacional de los Estados Unidos, el Departamento de Energía de Estados Unidos, Nasdaq, Uber y Delta Airlines.

Fuentes
The Zoom Desktop App Lets Any Website Take Over Your Mac’s Camera. Here’s What To Do About It • BuzzFeed
Apple is silently removing Zoom’s web server software from Macs • The Verge
Confirmed: Zoom Security Flaw Exposes Webcam Hijack Risk, Change Settings Now • Forbes