Zoom es una solución de video conferencia que se hizo muy popular a partir del distanciamiento social impuesto por la pandemia del COVID-19. Dado que su versión gratuita permite superar las limitaciones de videollamadas grupales de WhatsApp, se hizo muy popular entre los usuarios domésticos.
Los cuestionamientos a Zoom
Esa repentina popularidad llevó a que los expertos en seguridad informática (y algún que otro ciberdelincuente) pusieran interés en sus características de privacidad y seguridad.
La oficina de la fiscal general de Nueva York, Letitia James, envió a la empresa un requerimiento para que informe qué nuevas medidas de seguridad se han puesto en marcha la compañía para manejar el aumento de tráfico en su red y para detectar a los delincuentes informáticos.
Para la fiscalia, la firma responsable del servicio fue lenta en abordar los fallos de seguridad como las vulnerabilidades «que podrían permitir a terceros malintencionados, entre otras cosas, obtener acceso subrepticio a las cámaras web de los consumidores».
Todo empezó con los aumentos de ataques ahora conocidos como “Zoombombing.”
Esa palabreja se refiere a la explotación de la función de compartir la pantalla del Zoom para secuestrar reuniones e interrumpir sesiones educativas o publicar mensajes de supremacía blanca en un seminario web sobre antisemitismo,
Los fiscales manifiestan su preocupación de que:
las actuales prácticas de seguridad de Zoom no sean suficientes para adaptarse al reciente y repentino aumento tanto del volumen como de la sensibilidad de los datos que pasan por su red.
Aunque reconocen que las vulnerabilidades detectadas se han corregido, le preguntan a Zoom si ha emprendido un examen más amplio de sus prácticas de seguridad.
Compartiendo datos con Facebook
Hace unos días se descubrió que el cliente Zoom para iOS enviaba datos a Facebook. Esto pasaba aunque el usuario no tuviera cuenta en esa red social.
Posiblemente no sea algo deliberado. Muchas aplicaciones utilizan los kits de desarrollo de software (SDK) de Facebook como medio para implementar características en sus aplicaciones más fácilmente.
Al descargar y abrir la aplicación, Zoom se conectaba a la Graph API de Facebook. La Graph API es la principal forma en que los desarrolladores obtienen datos dentro o fuera de Facebook.
La aplicación Zoom notificaba a Facebook cuando el usuario abría la aplicación, detalles del dispositivo del usuario como el modelo, la zona horaria y la ciudad desde la que se está conectando, qué compañía telefónica está utilizando y un identificador de anunciante único creado por el dispositivo del usuario que las compañías pueden utilizar para dirigirse a un usuario con anuncios.
El pasado viernes, se actualizó la aplicación. En la nueva versión se reemplazó el uso del SDK por una autenticación en Facebook usando el navegador.
Otros problemas de privacidad
Zoom también tiene otros problemas potenciales de privacidad. Los anfitriones de las llamadas de Zoom pueden ver si los participantes tienen la ventana de Zoom abierta o no, lo que significa que pueden monitorear si es probable que la gente esté prestando atención. Los administradores también pueden ver la dirección IP, los datos de localización y la información del dispositivo. Si un usuario graba cualquier llamada a través de Zoom, los administradores pueden acceder a los contenidos de esa llamada grabada, incluidos los archivos de vídeo, audio, transcripción y chat, así como al acceso a los privilegios de compartir, analizar y gestionar la nube. Los administradores también tienen la posibilidad de unirse a cualquier llamada en cualquier momento a instancias de su organización de Zoom, sin consentimiento o aviso previo para los asistentes a la llamada.
Si usas una Mac y tienes instalado Zoom, deberías tener cuidado en lo que haces delante de la cámara. Jonathan Leitschuh, un analista de seguridad, publicó dos links desde los que se puede desde un sitio web encender la cámara web de los usuarios de Mac sin su consentimiento y conocimiento.
Pero, las cosas no están mejor para los usuarios de Windows. Según el experto en seguridad cibernética @_g0dmode, Zoom para Windows es vulnerable a una vulnerabilidad clásica de «inyección de ruta UNC» que podría permitir a los atacantes remotos robar las credenciales de inicio de sesión de Windows de las víctimas e incluso ejecutar comandos arbitrarios en sus sistemas.
Estos ataques son posibles porque Zoom para Windows soporta rutas UNC remotas que convierten las URIs potencialmente inseguras en hipervínculos cuando se reciben a través de mensajes de chat a un destinatario en un chat personal o de grupo.
Lo grave de todo esto es que hablamos de un servicio que lleva 9 años en el mercado y de una aplicación que es de las más descargadas en ambas tiendas de aplicaciones.
Hace unos días, en Linux Adictos repasamos algunas soluciones de video conferencia de código abierto que puedes utilizar.