La popular plataforma de video teleconferencia o reuniones virtuales presentó vulnerabilidades que permiten a los ciber atacantes robar información confidencial, instalar programas maliciosos y hasta tener acceso al micrófono y video de la aplicación.

Esta plataforma de videollamadas ha tenido un repentino éxito en los últimos días derivado de la implementación de la cuarentena a raíz del COVID-19. Y después que la empresa informara que el número de videollamadas por día se incrementó de 10 millones a 200 millones, ha sido blanco de los ciber atacantes al encontrar formas de aprovecharse de los baches de seguridad de la aplicación.

A continuación, se mencionan algunas de las vulnerabilidades que se dieron a conocer:

Robo de credenciales:
Se descubrió que todas las versiones de Windows hasta la 4.6.8 permiten a los atacantes robar las credenciales de acceso de los usuarios, al hacer clic en el enlace para integrarse a una reunión.

Instalación de malware:
Se identificaron agujeros de seguridad vinculados entre los que se encuentra una vulnerabilidad de día cero con la cual Zoom, utilizando algunas técnicas, lograría instalar aplicaciones sin interacción del usuario.

Un usuario con privilegios de bajo nivel podría inyectar código malicioso para obtener el nivel más alto de privilegios de usuario.

Hackeo de cámara y micrófono:
En la aplicación para MacOs, un atacante podría inyectar código malicioso en Zoom para obtener acceso a la cámara web y al micrófono sin autorización del usuario.

Acceso sin permiso a reuniones privadas:
Cada llamada de Zoom tiene un número identificador de entre 9 y 11 dígitos, generado aleatoriamente con identificadores fáciles de adivinar e incluso obtenerse por fuerza bruta, lo que permitiría ingresar a las reuniones sin necesidad de ser invitado; este fenómeno es llamado “Zoom bombing”.

Envío de información a terceros:
Días atrás, Zoom actualizó la aplicación iOS para solucionar una falla que permitía el envío de datos del dispositivo a Facebook. Tras este incidente, tuvo que reescribir partes de su política de privacidad.

No cuenta con cifrado de extremo a extremo en las videoconferencias:

La compañía admitió que las reuniones no están cifradas de extremo a extremo. En un comunicado enviado al sitio The Intercept reveló que usan cifrado TLS y no de extremo a extremo.

Es necesario saber que muchas veces estas fallas son solucionadas por medio de actualizaciones, pero si esto no ocurre, se tendrá que pensar en desinstalar las aplicaciones maliciosas y recurrir a otras plataformas más seguras.

Referencias:
https://www.infobae.com/america/tecno/2020/04/02/zoom-alertan-por-graves-fallas-de-seguridad-en-la-popular-aplicacion-de-videollamadas/
https://thehackernews.com/2020/04/zoom-windows-password.html