Zoom informa sobre una vulnerabilidad que permitía infiltrarse en videoconferencias ajenas

Se han publicado los detalles sobre una vulnerabilidad parchada en el cliente web de la plataforma de videoconferencias Zoom que hacía posible que los atacantes consigan la clave numérica que se utiliza para proteger las reuniones privadas en la plataforma de forma predeterminada.

Cada llamada de Zoom está protegida de forma predeterminada por una contraseña numérica de seis dígitos, lo que permite un millón de combinaciones numéricas. A pesar de que esto ofrece una notable protección, el problema radica en que no existía un límite de intentos de conexión, por lo que un atacante empecinado podría probar diferentes combinaciones hasta poder ingresar a una reunión activa.

La vulnerabilidad fue descubierta por Tom Anthony de la compañía SearchPilot, que explicó que, de esta manera, y con la ayuda de programas muy sencillos que agilicen esta tarea, “el atacante tiene la oportunidad de probar con 1 millón de contraseñas en sólo minutos para conseguir el acceso a las reuniones de Zoom privadas (y protegidas por contraseñas) de otras personas”, explicó Anthony.

Por si esto fuera poco, como las reuniones recurrentes utilizan la misma contraseña, el conseguir la clave de una otorga acceso a todas las reuniones futuras de ese grupo.

El investigador hizo una demostración en la que consiguió la contraseña de una reunión en 25 minutos y después de revisar 91.000 contraseñas. Pero aclaró que con un sistema más sofisticado y dividiendo el trabajo entre 4 o 5 servidores, se podría conseguir la clave en mucho menos tiempo.

En una semana, Zoom solucionó este problema estableciendo un límite de intentos para ingresar a una reunión en su plataforma y cambiando las contraseñas predeterminadas para que sean más largas y alfanuméricas. Asimismo, hay que tomar en cuenta que aun antes de esta actualización el usuario tenía la opción de personalizar sus claves por una de su preferencia –que podía combinar caracteres numéricos y alfanuméricos-, lo que aumentaría su protección.

La solución se dio a principios de abril, pero los detalles sobre la vulnerabilidad se publicaron esta semana. Según la información proporcionada, no existen evidencias de que algún hacker haya utilizado este ataque antes de que la vulnerabilidad fuese parchada.

Fuentes
Zoom bug gave hackers access to any private meeting Tech Radar
Zoom bug lets attackers to crack private meeting passwords Cybersafe News
Zoom security flaw meant random people could have spied on your calls The Independent UK