Problemas de seguridad de Zoom: qué salió mal y qué se solucionó

¿Usas Zoom? Seguro lo haces. Cuando la pandemia golpeó a América del Norte y Europa en marzo de 2020, aparentemente todos los que tenían que empezar a trabajar, ir a la escuela o incluso socializar desde casa comenzaron a usar el servicio de videoconferencia.

Sin embargo, hubo dolores de crecimiento. Zoom pasó de 10 millones de usuarios diarios en diciembre de 2019 a 300 millones de usuarios diarios en abril de 2020. Sus prácticas de seguridad y privacidad fueron objeto de un intenso escrutinio, y a los expertos no les gustó lo que encontraron.

El cifrado de extremo a extremo de Zoom no era del todo completo. Otros asistentes a la reunión de Zoom podrían ver mucho sobre usted. Los bromistas y los adolescentes aburridos podían, y a veces todavía, «zoom bombardear» las reuniones públicas con contenido impactante o grosero.

Las políticas de privacidad de Zoom también parecían darle a la empresa el derecho de hacer lo que quisiera con los datos personales de los usuarios.

La mayoría de esas fallas se han solucionado o mitigado desde la primavera de 2020, pero ocasionalmente surgen problemas más nuevos. Tenemos una lista actualizada de lo que salió mal con Zoom, lo que se solucionó y lo que sigue siendo un problema abierto, después de que le demos algunos consejos sobre cómo hacer que Zoom sea más seguro de usar.

Con todos estos problemas, la gente ha estado buscando alternativas a Zoom, así que echa un vistazo a nuestro enfrentamiento entre Skype y Zoom para ver cómo se ha adaptado una aplicación de video antigua para las videoconferencias. También hemos comparado Zoom vs Google Hangouts, e incluso tenemos un resumen de los mejores fondos de Zoom gratuitos.

Cómo hacer que Zoom sea más seguro de usar

A menos que esté discutiendo secretos de estado o información de salud personal, Zoom debería estar bien para usar. Es fácil de configurar, fácil de usar y permite que hasta 100 personas se unan a una reunión de forma gratuita. Simplemente funciona.

Para las clases escolares, las reuniones después del trabajo o incluso las reuniones en el lugar de trabajo que se apegan a los asuntos de rutina, no hay mucho riesgo al usar Zoom. Los niños probablemente seguirán acudiendo en masa, ya que incluso pueden usar los filtros de Snapchat en Zoom.

Esto es lo que puede hacer para que Zoom sea más seguro:

– Configuración Autenticación de dos factores de Zoom para proteger su cuenta.

– Únase a las reuniones de Zoom a través de su navegador web en lugar de a través del software de escritorio Zoom. La versión del navegador web obtiene mejoras de seguridad más rápido y «se encuentra en una caja de arena» para limitar los problemas de seguridad, señala la compañía antivirus Kaspersky. (se abre en una pestaña nueva).

Cuando hace clic en un enlace para unirse a una reunión, su navegador abrirá una nueva pestaña y le pedirá que use o instale el software de escritorio Zoom. Pero hay un enlace más pequeño para «unirse desde su navegador». Haga clic en eso en su lugar.

– Pida a los participantes de la reunión de Zoom que inicien sesión con una contraseña si está organizando una reunión. Eso hará que el bombardeo de Zoom sea mucho menos probable.

Todo lo que salió mal con Zoom últimamente

Pusimos los problemas de Zoom más recientes en la parte superior y separamos los problemas más antiguos en aquellos que no están resueltos, los que se han solucionado y los que no encajan en ninguna de las categorías.

Julio. 28, 2022: Zoom se cae para miles de usuarios

Zoom sufrió una interrupción que afectó a miles de usuarios según los informes de Downdetector. Según el panel de estado de la empresa, su función de telefonía enfrentó un rendimiento degradado que dificultó a los usuarios realizar llamadas con Zoom Phone.

Desde entonces, el problema se solucionó y todo parece estar funcionando normalmente en Zoom ahora.

Mayo. 25, 2022: Engañar a los usuarios para que rebajen la versión de su cliente Zoom

Un investigador de seguridad del Proyecto Cero de Google descubrió una falla de seguridad en la que el software Zoom Client para reuniones y Zoom Rooms para salas de conferencias no verifica correctamente la versión de instalación durante el proceso de actualización. Como el servidor de Zoom y su servidor cliente usan diferentes bibliotecas de análisis XML, un pirata informático podría enviar un mensaje específico para obligar al cliente objetivo a descargar una versión anterior de Zoom para lanzar ataques utilizando vulnerabilidades que ya se han parcheado.

Esta falla de seguridad se corrigió con el lanzamiento de la versión 5.10.0 de Zoom, que también soluciona otras vulnerabilidades. Actualizar a la última versión del software de videoconferencia lo protegerá de cualquier ataque que aproveche esta falla.

Feb. 10 de octubre de 2022: los micrófonos de Mac no se apagan

Tras los informes de varios usuarios de Mac que dijeron que sus micrófonos permanecieron encendidos incluso después de que terminaron las reuniones de Zoom, Zoom lanzó un parche que se suponía que solucionaría el problema. No funcionó del todo.

Otro parche un mes después finalmente apagó los micrófonos. Asegúrese de que su cliente de escritorio Zoom en Mac esté actualizado a la versión 5.9.3. Puede que tenga que instalar la actualización «manualmente» por descargándolo directamente desde el sitio web de Zoom (se abre en una pestaña nueva).

Dic. 7, 2021: Zoom habilita actualizaciones automáticas

El software de cliente de Zoom para uso personal de Windows y Mac ahora le permite habilitar actualizaciones automáticas (se abre en una pestaña nueva)lo que significa que obtendrá las últimas correcciones de seguridad cruciales tan pronto como lleguen.

Aún mejor, la nueva función le permite elegir un carril «rápido» o «lento» para actualizaciones menos urgentes, lo que significa que puede elegir si desea obtener todas las funciones más recientes y arriesgarse a un poco de inestabilidad, o proceder a un ritmo constante con el máximo fiabilidad.

Las actualizaciones automáticas probablemente estarán habilitadas de forma predeterminada pronto para todos los usuarios nuevos y existentes. Si desea desactivar (o activar) la función, vaya a Zoom> Configuración> General y busque «Actualizaciones de Zoom».

Dic. 7, 2021: acuerdo de demanda colectiva de Zoom

Como resultado de un acuerdo en una demanda colectiva relacionada con algunos de los problemas de privacidad y seguridad detallados anteriormente en esta página, cualquiera que haya usado Zoom entre el 30 de marzo de 2016 y el 30 de julio de 2021 tiene derecho a un pago en efectivo.

Puede que no sea mucho dinero por persona. Los suscriptores de Zoom que pagan «tienen derecho a recibir el 15% del total que pagó a Zoom» durante el período de elegibilidad «o $ 25, lo que sea mayor». Los usuarios de Zoom gratis pueden obtener $ 15. Los montos pueden reducirse si más personas presentan reclamos de los que Zoom puede pagar de los $ 85 millones asignados.

Para presentar un reclamo, lea la letra pequeña en ZoomMeetingClassAction.com (se abre en una pestaña nueva) y luego ir a la Presentar un reclamo (se abre en una pestaña nueva) página. Tom’s Guide no puede garantizar que obtendrá nada.

Nov. 18 de febrero de 2021: Zoom corrige tres fallas graves en el software de conferencias

Zoom ha reparado tres fallas graves en algunos de sus software de videoconferencia empresarial, la peor de las cuales podría haber permitido que un atacante penetrara el sistema de servidor interno de una empresa.

Las siguientes aplicaciones empresariales de Zoom son vulnerables y deben actualizarse, según un informe de Tecnologías positivas (se abre en una pestaña nueva): Meeting Connector Controller hasta la versión 4.6.348.20201217; Meeting Connector MMR hasta la versión 4.6.348.20201217; Conector de grabación hasta la versión 3.8.42.20200905; Virtual Room Connector hasta la versión 4.4.6620.20201110; y Virtual Room Connector Load Balancer anterior a la versión 2.5.5495.20210326.

Con respecto al software de consumo, Zoom solucionó una falla de seguridad en Zoom Client for Meetings para Windows, que debe actualizarse a la versión 5.5.4. Eso es según el Boletín de seguridad de Zoom (se abre en una pestaña nueva) página.

Oct. 19, 2021: Zoom requiere que los usuarios no tengan más de 9 meses de retraso en las actualizaciones de software

Zoom anunció que a partir del 1 de noviembre 1, 2021, «los clientes deberán actualizar su software Zoom (se abre en una pestaña nueva) para asegurarse de que no tenga más de nueve meses de retraso con respecto a la versión actual en un momento dado. «Si no actualiza su software, no podrá unirse a las reuniones de Zoom.

A cualquier persona que ejecute un software más antiguo se le pedirá que actualice su software. Esto afecta todo el software Zoom que se ejecuta en todas las plataformas compatibles, excepto el software Zoom Room Controller, al menos por ahora.

septiembre 30, 2021: fallas de seguridad de Zoom parcheadas

Zoom reveló varios problemas de seguridad (se abre en una pestaña nueva) eso se solucionó en versiones posteriores de los clientes de escritorio de Zoom y complementos para Microsoft Outlook para Windows y macOS.

Las fallas variaron en severidad de menor a mayor, y algunas permitieron la ejecución remota de código, es decir, la piratería a través de Internet, en las máquinas de los usuarios. Todos fueron parcheados por al menos Zoom Client for Meetings 5.4.0 y Zoom Plug-In para Microsoft Outlook para Mac 5.0.25611.0521.

septiembre 13, 2021: Llamadas de Zoom Phone encriptadas

Zoom anunció que planeaba lanzar encriptado de fin a fin (se abre en una pestaña nueva) este Ampliar teléfono (se abre en una pestaña nueva), su servicio de llamadas en la nube de pago para cuentas Pro, Business o Enterprise. El cifrado de extremo a extremo será una opción para Zoom Phone uno a uno llamadas

Ago. 13, 2021: Zoom corrige falla de piratería

Zoom anunció a través de su Boletín de seguridad de Zoom (se abre en una pestaña nueva) que la falla de piratería remota demostrada en la competencia Pwn2Own en abril se había solucionado.

Todos los usuarios, ya sea en Windows, Mac o Linux, deben actualizar su software Zoom Client for Meetings a la versión 5.6.3 o posterior.

31 de julio de 2021: Zoom resuelve una demanda colectiva

Zoom llegó a un acuerdo provisional en una demanda colectiva federal que alegaba que la empresa escatimó en seguridad, engañó a los usuarios y compartió datos personales de los usuarios con terceros sin notificación ni consentimiento.

Según el acuerdo, que aún debe ser aprobado por un juez, Zoom pagará $ 85 millones para ser distribuidos a cualquiera que haya tenido una cuenta de consumidor de Zoom entre marzo de 2016 y ahora. (Los titulares de cuentas de Zoom empresariales y gubernamentales no forman parte de este litigio).

Los usuarios de Zoom que pagan son elegibles para recibir el 15% de sus tarifas de suscripción o $25, lo que sea mayor; los usuarios que no pagan son elegibles para recibir $ 15. Los miembros de la clase conocidos serán notificados por correo electrónico o correo regular que pueden presentar un reclamo, y otros podrán usar el sitio web www.zoommeetingsclassaction.com cuando esté activo.

Zoom no admite irregularidades como parte del acuerdo.

4 de junio de 2021: nueva política de privacidad de Zoom

Zoom ha lanzado un «más simple, más claro (se abre en una pestaña nueva)«política de privacidad que refleja el hecho de que el servicio de reuniones en línea» pasó de ser un producto centrado principalmente en la empresa a uno que también es utilizado ampliamente por individuos «durante la pandemia de COVID-19».

La política de privacidad actualizada incluye más detalles sobre quién puede «ver, guardar y compartir» el contenido de la reunión de Zoom y los tipos de datos que Zoom recopila de los dispositivos de los usuarios.

Puedes leer el «Declaración» de privacidad de Zoom actualizada completa aquí (se abre en una pestaña nueva).

1 de mayo de 2021: Zoom presenta notificaciones de privacidad

En una publicación de blog, Zoom anunció que había agregado notificaciones de privacidad (se abre en una pestaña nueva) a la última versión de su software de cliente de escritorio.

«Los usuarios verán nuevas notificaciones en el producto diseñadas para facilitar la comprensión de quién puede ver, guardar y compartir su contenido e información cuando se unen a reuniones y experiencias alojadas en Zoom», dice la publicación.

Las notificaciones aparecen en la ventana de chat de la reunión como un botón con la etiqueta «¿Quién puede ver sus mensajes?» Haga clic con el mouse en eso y aparecerá una burbuja de notificación con la respuesta.

«Los usuarios encontrarán información similar cuando usen otras funciones de reunión», dice la publicación del blog, «como transcripción, encuestas y preguntas y respuestas».

Agregó que las actualizaciones futuras incluirían notificaciones cuando un anfitrión o participante de una reunión use una aplicación de transcripción o programación de Zoom durante una reunión.

8 de abril de 2021: la falla de Zoom permite que un hacker secuestre PC y Mac

Dos investigadores demostraron en el concurso Pwn2Own que podían hacerse cargo de forma remota de las PC y Mac con Windows mediante el uso de al menos una vulnerabilidad previamente desconocida en la aplicación de escritorio Zoom.

Afortunadamente, las únicas personas que entienden completamente cómo funciona este exploit son los dos investigadores y el propio Zoom, que está trabajando en una solución. Las posibilidades de que este ataque se use «en la naturaleza» son bajas, pero si le preocupa, use la interfaz del navegador Zoom durante las reuniones hasta que se solucione.

19 de marzo de 2021: la falla permite que otros usuarios de Zoom vean demasiado

Zoom permite a los participantes de la reunión compartir todas las pantallas de sus computadoras, parte de sus pantallas o solo ventanas de aplicaciones específicas con otras personas en la misma reunión.

Dos investigadores alemanes descubrieron que, por un breve momento, toda la pantalla puede ser visible incluso cuando el usuario de Zoom que comparte la pantalla tiene la intención de que solo sea parte de la pantalla. Cualquier participante que grabe la reunión podrá congelar fotogramas durante la reproducción y ver información potencialmente confidencial.

Zoom dijo que estaba trabajando para solucionar el problema, pero al momento de escribir este artículo, la falla aún estaba presente en la última versión del software de cliente de escritorio Zoom para al menos Windows y Linux.

Feb. 23, 2021: El chat encriptado Keybase de Zoom corrige una falla grave

Keybase, un sistema de verificación de redes sociales encriptadas y una aplicación de chat comprada por Zoom en mayo de 2020, tenía un defecto grave (se abre en una pestaña nueva) que conservaba imágenes en directorios en línea incluso después de que el usuario las hubiera eliminado.

La falla se informó a Zoom a principios de enero de 2021, y más tarde ese mes se lanzó una actualización del software Keybase para corregir la falla.

Feb. 8, 2021: un estudio dice que tratar de detener el bombardeo de Zoom a menudo no funcionará

Un nuevo estudio realizado por investigadores de la Universidad de Boston y la Universidad de Binghamton encontró que los esfuerzos para detener el «bombardeo de Zoom», como solicitar contraseñas o hacer que los asistentes se sientan molestos en las «salas de espera», a menudo no funcionan.

Eso es porque muchos ataques son llevados a cabo por «personas internas» que ya están autorizadas para estar en las reuniones.

«Nuestros hallazgos indican que la gran mayoría de las llamadas para el bombardeo de Zoom no son realizadas por atacantes que tropiezan con invitaciones a reuniones o fuerza bruta en su ID de reunión, sino por personas internas que tienen acceso legítimo a estas reuniones, particularmente estudiantes en clases de escuela secundaria y universidad. , «afirma el documento, titulado»Un primer vistazo a Zoombombing (se abre en una pestaña nueva). «

La «única defensa efectiva» contra tales ataques internos, argumenta el documento, es crear «enlaces de unión únicos para cada participante».

Ene. 29, 2021: La ciudad trabaja para prohibir el bombardeo de Zoom

Acosada por una epidemia de bombardeos con Zoom durante las reuniones de la asamblea de la ciudad, la ciudad de Juneau, Alaska, está explorando formas de prohibir la práctica.

«Hemos tenido algunos a nivel de asamblea, hemos tenido algunos a nivel de la junta escolar, hemos tenido algunos en algunas reuniones de la junta del comité», dijo el abogado de la ciudad Rob Palmer, según el sitio web de estación de radio KTOO (se abre en una pestaña nueva).

La policía de la capital de Alaska ha tenido dificultades para rastrear a los atacantes de Zoom. La ciudad espera que al ilegalizar la práctica, pueda obligar a Zoom a entregar información que identifique a los malhechores digitales.

Dic. 21, 2020: Ejecutivo de Zoom acusado de ser espía chino

En un anuncio bomba, el Departamento de Justicia de EE. UU. (se abre en una pestaña nueva) dijo que había emitido una orden de arresto contra el exejecutivo de Zoom Jin Xinjiang, también conocido como Julien Jin, quien hasta hace poco había servido como enlace entre Zoom y el gobierno chino.

Estados Unidos acusó a Jin de usar su posición para interrumpir y terminar las reuniones de Zoom entre los usuarios de Zoom con sede en EE. UU. para conmemorar el aniversario de la masacre de la Plaza Tiananmen de 1989 y para proporcionar información al gobierno chino sobre los usuarios de Zoom y las reuniones de Zoom. Se cree que Jin reside en China.

Jin supuestamente contó con la ayuda de co-conspiradores no identificados que crearon cuentas de correo electrónico falsas y cuentas de Zoom a nombre de disidentes chinos conocidos «para fabricar evidencia de que los anfitriones y participantes en las reuniones para conmemorar la masacre de la Plaza Tiananmen estaban apoyando a organizaciones terroristas, incitando a la violencia. o distribuir pornografía infantil”.

el departamento de Justicia dijo que el gobierno chino utilizó la información proporcionada por Jin para tomar represalias contra los usuarios de Zoom en China o las familias residentes en China de los usuarios de Zoom fuera de China.

El anuncio del Departamento de Justicia y orden de arresto (se abre en una pestaña nueva) referirse solo a una «Compañía-1» sin nombre como empleador de Jin, pero en una publicación de blog, Zoom admitió que fue la empresa (se abre en una pestaña nueva) y que había estado realizando su propia investigación después de recibir una citación del gobierno de los EE. UU. en junio de 2020.

La publicación explicaba además que Zoom había contratado a Jin en octubre de 2019 como parte de un acuerdo con el gobierno chino, que en septiembre de 2019 había «apagado nuestro servicio en China sin previo aviso».

El precio de volver a activar Zoom en China fue contratar «un contacto interno para las solicitudes de aplicación de la ley», es decir, Jin, y mover los datos de los usuarios chinos a servidores en China. El servicio Zoom se restableció en China en noviembre de 2019 y el Departamento. La orden de arresto de Justicia para Jin se emitió un año después.

“Aprendimos durante el curso de nuestra investigación que este ex empleado violó las políticas de Zoom, entre otras cosas, al intentar eludir ciertos controles de acceso internos”, dijo Zoom. «Hemos terminado el empleo de este individuo».

Zoom admitió que Jin «compartió o dirigió el intercambio de una cantidad limitada de datos de usuarios individuales con las autoridades chinas» y que la información de «menos de diez… usuarios fuera de China» también se había proporcionado a China.

Dic. 7, 2020: suplantación de identidad de Zoom estafas

los Oficina de Mejores Negocios (se abre en una pestaña nueva) advierte a los usuarios de Zoom que los estafadores están tratando de robar sus nombres de usuario y contraseñas a través de correos electrónicos y mensajes de texto de phishing, informes mensaje de amenaza (se abre en una pestaña nueva).

Los mensajes le informan que «su cuenta de Zoom ha sido suspendida» o que «se perdió una reunión» y ofrece un enlace útil para volver a iniciar sesión. Pero no caiga en el anzuelo: la página de inicio de sesión es realmente una trampa para capturar sus credenciales de usuario de Zoom, con las que los delincuentes pueden usar o incluso robar su cuenta de Zoom.

Nov. 16, 2020: Zoom finalmente acaba con el bombardeo de Zoom

Uno de los mayores problemas con Zoom ha sido el «bombardeo de Zoom», en el que los participantes no invitados interrumpen una reunión de Zoom y la interrumpen. Durante el fin de semana, Zoom lanzó dos nuevas funciones para combatir esto.

Uno, «Suspender las actividades de los participantes», le permite al anfitrión de la reunión pausar la reunión, expulsar a los participantes disruptivos y luego reanudar la reunión. El otro, «Informe de los participantes», extiende a los participantes de la reunión la capacidad de informar a los participantes disruptivos, un remedio que anteriormente solo se brindaba a los anfitriones de la reunión.

Nov. 10 de octubre de 2020: la FTC dice que Zoom mintió sobre la seguridad

La Comisión Federal de Comercio anunció que Zoom «engañó a los usuarios» y «participó en una serie de prácticas engañosas e injustas» con respecto a su propia seguridad. La FTC citó el cifrado falso de extremo a extremo descubierto en marzo y el software que Zoom instaló en las Mac sin autorización en 2018 y 2019.

Zoom debe aceptar revisiones de seguridad internas anuales y revisiones de seguridad externas cada dos años y debe implementar un programa de gestión de vulnerabilidades. Otra estipulación fue que Zoom ofrecería a los clientes autenticación multifactor, que ya ha implementado.

Nov. 6, 2020: Espionaje de pulsaciones de zoom

Investigadores en Texas y Oklahoma descubrieron que es posible saber lo que alguien está escribiendo durante una llamada de Zoom con solo observar sus hombros y brazos.

Usando una computadora, el equipo de investigación pudo descifrar las contraseñas de las personas hasta el 75% de las veces, dependiendo de la resolución de la cámara y si el sujeto vestía una camisa con mangas o tenía el pelo largo.

Cualquier tipo de plataforma de videoconferencia podría usarse para esto, dijeron los investigadores, al igual que los videos de YouTube o plataformas de transmisión como Twitch.

Oct. 27, 2020: El cifrado de extremo a extremo se pone en marcha

La función de cifrado de extremo a extremo de Zoom finalmente se puso en marcha, excepto en iOS, donde tuvo que esperar la aprobación de Apple. Tenemos instrucciones sobre cómo habilitar el cifrado de extremo a extremo de Zoom.

Oct. 15, 2020: El cifrado de extremo a extremo llegará pronto

Después de un largo período de tiempo sin noticias de Zoom, la compañía anunció que el cifrado de extremo a extremo en el que había estado trabajando durante muchos meses pronto estaría disponible para la prueba beta.

Los usuarios tendrán que esperar una actualización del software del cliente Zoom en la tercera semana de octubre. Los anfitriones de la reunión decidirán si cifrar una reunión de Zoom de extremo a extremo. Esas reuniones no funcionarán (por ahora) para los usuarios que intenten unirse a través de la interfaz del navegador web o por teléfono.

31 de julio de 2020: una falla de seguridad habría permitido que cualquiera se uniera a una reunión pública

Si recuerda que la interfaz web de Zoom estuvo fuera de servicio durante unos días en abril de 2020, ahora sabemos por qué: la empresa estaba solucionando una falla de seguridad muy grave que podría haber permitido que cualquiera se uniera a una reunión privada de Zoom.

investigador de seguridad británico tom antonio (se abre en una pestaña nueva) detalló en su blog esta semana cómo descubrió que podía hacer infinitas conjeturas aleatorias sobre los PIN de 6 dígitos que Zoom asigna a las reuniones privadas. Eso es un millón de posibilidades por las que pasar, lo que puede ser difícil para un ser humano, pero no es difícil para una PC con una potencia decente que ejecuta múltiples subprocesos.

Anthony descubrió que podía ingresar a las reuniones de Zoom en aproximadamente media hora, más o menos. Eso es mucho antes de que terminen muchas reuniones.

La falla está solucionada ahora, por lo que no necesita preocuparse por esa vía particular de bombardeo de Zoom.

ESTADO: Fijado.

10 de julio de 2020: falla de adquisición remota

Un investigador de seguridad anónimo encontró una falla crítica en el software cliente de Zoom Meetings para Windows que permitiría a un pirata informático controlar de forma remota cualquier PC con Windows 7 o anterior. Zoom arregló la falla con una actualización de software poco después de que la falla se hiciera pública.

ESTADO: Fijado.

17 de junio de 2020: Zoom se rinde ante los críticos y ofrecerá cifrado de extremo a extremo para todos

Retrocediendo después de las críticas sostenidas de los defensores de la privacidad, Zoom anunció en una publicación de blog el 17 de junio (se abre en una pestaña nueva) que su próximo cifrado de extremo a extremo (E2E) ya no sería solo para usuarios pagos. Los millones de personas que usan Zoom de forma gratuita para la escuela, la vida social y el trabajo también obtendrán cifrado de extremo a extremo.

«Hemos identificado un camino a seguir que equilibra el derecho legítimo de todos los usuarios a la privacidad y la seguridad de los usuarios en nuestra plataforma», escribió el CEO Eric S. Yuan. «Esto nos permitirá ofrecer E2EE como una función complementaria avanzada para todos nuestros usuarios en todo el mundo, gratuitos y de pago, mientras mantenemos la capacidad de prevenir y combatir el abuso en nuestra plataforma».

Pero si es un usuario gratuito que quiere E2E, primero deberá verificar su identidad en Zoom a través de una contraseña de un solo uso o un servicio similar. Esto hará que sea más difícil hacer «zoom bomb» en las reuniones.

El cifrado E2E seguirá siendo una característica opcional, recordó Yuan, porque cuando está activado, nadie puede unirse a una reunión por teléfono o con ciertos equipos de teleconferencia de la oficina. Dependerá de los anfitriones de la reunión activar E2E.

12 de junio de 2020: Censura

Zoom está en problemas en los EE. UU. por la libertad de expresión y la censura después de que, cediendo a las demandas del gobierno chino, suspendiera temporalmente las cuentas de tres disidentes chinos que organizaban reuniones abiertas para conmemorar el aniversario del 4 de junio de la masacre de la Plaza Tiananmen.

La empresa se disculpó por las acciones en una publicación de blog el 11 de junio (se abre en una pestaña nueva) y dijo que desarrollaría una forma de bloquear a los participantes de la reunión de ciertos lugares (es decir, China) sin cerrar las reuniones por completo.

Eso no fue suficiente para satisfacer a más de una docena de congresistas y senadores estadounidenses de ambos partidos, quienes escribieron cartas al CEO de Zoom, nacido en China, Eric S. Yuan, exigiendo saber qué tan amable era su empresa con el gobierno de Beijing.

4 de junio de 2020: Cisco Talos revela dos fallas graves de Zoom

Talos (se abre en una pestaña nueva)una firma de investigación de seguridad de la información propiedad de Cisco, reveló el 3 de junio que había encontrado dos fallas graves en las aplicaciones de cliente de Zoom, las cuales ahora han sido parcheadas.

los primer defecto (se abre en una pestaña nueva) habría permitido que un atacante usara un GIF animado especialmente creado y colocado en un chat de reunión de Zoom para piratear el software del cliente de Zoom en las máquinas de otras personas para forzar la instalación de malware o, como dijo Talos, «lograr la ejecución de código arbitrario».

los segundo defecto (se abre en una pestaña nueva) también involucra la función de chat en el software de cliente de reuniones Zoom, con consecuencias potenciales igualmente graves. El problema era que Zoom no validaba el contenido de los archivos comprimidos compartidos, como los archivos .zip.

Un atacante podría haber enviado malware en forma de archivo comprimido a un usuario a través del chat de la reunión de Zoom, y el cliente Zoom del usuario habría guardado y abierto el malware dentro del directorio de la aplicación Zoom.

Peor aún, si el usuario guardara el archivo comprimido de Zoom en otro lugar de la PC, como en el escritorio, el atacante podría enviar una versión alterada del primer archivo con el mismo nombre.

Zoom abriría la segunda versión (pero no la primera) automáticamente, lo que permitiría que el malware «plantara binarios en rutas casi arbitrarias y… potencialmente sobrescribiera archivos importantes y condujera a la ejecución de código arbitrario».

ESTADO: Fijado.

Lunes, 1 de junio de 2020: el cifrado de extremo a extremo puede estar limitado a usuarios pagos

El próximo cifrado de extremo a extremo de Zoom es principalmente para usuarios pagos, como dijo Zoom el 7 de mayo. Pero Alex Stamos, un conocido experto en seguridad de la información que está consultando a Zoom sobre asuntos de seguridad, dijo Reuters (se abre en una pestaña nueva) la semana pasada que las escuelas y otras empresas sin fines de lucro también podrían obtener el cifrado de extremo a extremo para sus cuentas.

«El CEO está analizando diferentes argumentos», dijo Stamos a Reuters. «El plan actual es de clientes pagados más cuentas empresariales donde la empresa sabe quiénes son».

27 de mayo de 2020: actualización de seguridad

Todos los administradores de Zoom Rooms deben actualizar su software (se abre en una pestaña nueva) para el 30 de mayo, dijo Zoom en una publicación de blog el 26 de mayo.

La actualización a Zoom 5.0 brindará «mayor seguridad y controles de host de privacidad «, dijo Zoom, pero también» cumplir con los requisitos mínimos de la versión 5.0 o superior para el cifrado GCM, que se habilitará y se requerirá para todas las reuniones el 30 de mayo «.

Más información sobre la actualización de Zoom Rooms está aquí (se abre en una pestaña nueva). Las actualizaciones 5.0 para el software del cliente Zoom se enviaron a los usuarios de Windows, Mac, Android, iOS, Chrome OS, Amazon Fire y Linux a fines de abril.

21 de mayo de 2020: instaladores de Zoom corruptos

Los investigadores de Trend Micro encontraron dos instancias más de instaladores de Zoom corruptos.

El primero abre una puerta trasera en una PC; el segundo espía al propietario de la PC con capturas de pantalla, registro de teclas y secuestro de la cámara web y envía la PC a la red de bots Devil Shadow.

Ambos instaladores instalan el cliente de software Zoom, por lo que es posible que las víctimas no se den cuenta. Como siempre, obtenga su software de Zoom directamente desde el sitio web de Zoom en Zoom.us, o únase a una reunión de Zoom directamente desde su navegador web.

18 de mayo de 2020: interrupciones después de una actualización de back-end

Zoom sufrió una interrupción inexplicable el domingo 17 de mayo, por lo que no estuvo disponible para miles de usuarios en los EE. UU. y el Reino Unido. La interrupción, que comenzó el domingo por la mañana, hora del Reino Unido, duró varias horas y afectó los servicios religiosos en línea en ambos países. Incluso el gobierno británico resumen diario de coronavirus (se abre en una pestaña nueva) se vio afectado, anulando la capacidad de los periodistas para hacer preguntas a través de Zoom.

Algunos usuarios informaron en Twitter que cerrar sesión en las cuentas de Zoom y luego volver a iniciar sesión parecía resolver el problema.

La página de estado de Zoom señaló que se había realizado una actualización de back-end el domingo por la mañana, pero no parecía haber ningún vínculo entre esa actualización y la interrupción que comenzó unas horas más tarde.

los Página de estado de zoom (se abre en una pestaña nueva) dijo en ese momento que las interrupciones «parecen estar limitadas a un subconjunto de usuarios» y que Zoom estaba «trabajando para identificar la causa raíz y el alcance de este problema». Unas horas después, el problema se declaró «resuelto» sin más detalles.

12 de mayo de 2020: suplantación de dominio

Los ciberdelincuentes pueden haber registrado cientos de nuevas direcciones de sitios web relacionados con Zoom en las últimas semanas, según investigadores de la empresa de seguridad israelí. punto de control (se abre en una pestaña nueva).

Muchos de estos sitios se utilizan en ataques de phishing para obtener los nombres de usuario y las contraseñas de Zoom de las víctimas, y estafas similares aprovechan las plataformas de videoconferencia rivales, como Google Meet y Microsoft Teams.

Durante el fin de semana, vándalos en línea secuestraron la ceremonia de graduación en la Universidad de la Ciudad de Oklahoma (se abre en una pestaña nueva), reemplazando el video de Zoom con lenguaje y símbolos racistas. No quedó claro de inmediato si esto fue el resultado de un bombardeo de Zoom regular o si los atacantes usaron métodos menos conocidos para interrumpir la transmisión de video.

8 de mayo de 2020: Zoom prohíbe a los usuarios gratuitos las llamadas de soporte técnico

Zoom anunciado el 7 de mayo (se abre en una pestaña nueva) que debido a que su personal de soporte técnico está abrumado con llamadas, podría brindar asistencia técnica personal solo a los «propietarios y administradores» de cuentas pagas.

En otras palabras, cualquier usuario, propietario o administrador de una cuenta Zoom gratuita y usuarios finales de cuentas pagas no tendrán derecho a ayuda humana. En su lugar, tendrán que confiar en las preguntas frecuentes y en la lista de procedimientos del Zoom recursos en línea (se abre en una pestaña nueva) página.

Por ahora, esta disposición se aplica solo a mayo y junio de 2020. Si el bloqueo del coronavirus dura más que eso, es posible que Zoom deba contratar más personal de soporte técnico.

7 de mayo de 2020: Zoom promete reforzar la seguridad de acuerdo con el fiscal general de Nueva York

Oficina de la fiscal general del estado de Nueva York, Letitia James llegó a un acuerdo con Zoom (se abre en una pestaña nueva) 7 de mayo luego de una investigación sobre las prácticas de seguridad y privacidad de Zoom.

No hay muchas cosas nuevas en el acuerdo. La mayoría de las quejas del NYAG con Zoom involucraron temas discutidos en esta historia que está leyendo. La mayoría de las estipulaciones que Zoom acordó son cosas que la empresa ya está haciendo, incluida la obligatoriedad de las contraseñas y el uso de un mejor cifrado.

A largo plazo, Zoom tiene que realizar revisiones periódicas del código y realizar ejercicios de prueba de penetración anuales, en los que los piratas informáticos pagados intentan romper las defensas de la empresa.

Solo dos cosas nuevas afectarán directamente a los consumidores. Zoom tiene que reforzar la seguridad de las contraseñas evitando ataques automáticos de relleno de contraseñas (como agregar CAPTCHA a las páginas de inicio de sesión) y debe restablecer automáticamente las contraseñas comprometidas.

También tiene que actualizar sus políticas de uso aceptable para prohibir «la conducta abusiva incluye el odio contra otros por motivos de raza, religión, etnia, origen nacional, género u orientación sexual».

Francamente, estas son políticas estándar de larga data en muchas otras compañías en línea, por lo que nos sorprende un poco que no fueran ya políticas de Zoom.

7 de mayo de 2020: Zoom compra startup de cifrado

Zoom está comprando Keybase, una pequeña startup de la ciudad de Nueva York, en un intento por implementar rápidamente un verdadero cifrado de extremo a extremo para las reuniones de Zoom. El CEO de Zoom, Eric S. Yuan, anunció (se abre en una pestaña nueva). El precio de compra u otros términos del acuerdo no fueron revelados.

Keybase crea un software fácil de usar para cifrar mensajes y publicaciones en redes sociales de manera fácil y segura.

En marzo, Zoom tuvo que admitir que su promocionado cifrado «de extremo a extremo» no era real porque los propios servidores de Zoom siempre pueden acceder al contenido de las reuniones. Una vez que se incorpore la tecnología de Keybase, ese ya no será siempre el caso.

6 de mayo de 2020: Contraseñas de reuniones y salas de espera habilitadas por defecto

Se requerirán contraseñas de reuniones y salas de espera de forma predeterminada para todas las reuniones de Zoom, gratuitas o pagas, a partir del 9 de mayo, anunció Zoom. Solo los anfitriones podrán compartir sus pantallas de forma predeterminada, pero al igual que las otras configuraciones, eso se puede cambiar.

5 de mayo: el CEO de Zoom, Yuan, aborda cuestiones de seguridad y nacionalidad

En una compañia entrada en el blog (se abre en una pestaña nueva)el CEO de Zoom, Eric S. Yuan, dijo que el aumento masivo en el uso de Zoom desde el comienzo del bloqueo del coronavirus había sido «desafiante», pero también nos brindó «oportunidades para impulsar cambios y mejoras significativos».

Yuan admitió que «no pudimos establecer funciones de seguridad preconfiguradas para nuestros nuevos clientes, especialmente para las escuelas», refiriéndose a las contraseñas de las reuniones y las salas de espera. «En cambio, asumimos que entenderían nuestra plataforma como nuestros clientes comerciales entienden nuestra plataforma y personalizarían estas funciones ellos mismos».

Eso dio como resultado que «personas no invitadas, ofensivas y, a veces, incluso verdaderamente malvadas interrumpieran las reuniones», escribió Yuan. (Tal persona interrumpió una reunión de Zoom sobre violencia sexual (se abre en una pestaña nueva) en el Área de la Bahía la semana pasada).

Yuan también abordó los rumores sobre sus propios vínculos y los de Zoom con China. Dijo que había vivido en los EE. UU. desde 1997 y se convirtió en ciudadano estadounidense en 2007, y que Zoom es una empresa totalmente estadounidense.

«Al igual que muchas empresas multinacionales de tecnología, Zoom tiene operaciones y empleados en China… operado por subsidiarias de la empresa matriz estadounidense», escribió Yuan. «Nuestras operaciones en China son materialmente similares a las de nuestros pares estadounidenses que también operan y tienen empleados allí».

«Tenemos 1 (un) centro de datos coubicado en China [that is] «Dirigido por una empresa australiana líder y está geocercado», agregó Yuan. «Existe principalmente para satisfacer a nuestros clientes de Fortune 500 que tienen operaciones o clientes en China y desean usar nuestra plataforma para conectarse con ellos».

4 de mayo de 2020: Escuchar a escondidas las reuniones de Zoom

Un reportero del Financial Times de Londres renunció después de que lo sorprendieran interrumpiendo las reuniones internas de Zoom en los periódicos rivales de Londres.

marco di stefano anunció su renuncia en Twitter (se abre en una pestaña nueva) después El independiente (se abre en una pestaña nueva) documentó cómo Di Stefano se unió la semana pasada a una reunión de personal independiente sobre recortes salariales y licencias, primero con su propio nombre y luego de forma anónima.

Poco después, el Financial Times publicó una historia de Di Stefano sobre los recortes de The Independent. Di Stefano citó a sus fuentes como «personas en la llamada», dijo The Independent.

The Independent también descubrió que el teléfono celular de Di Stefano se había utilizado anteriormente para acceder a una reunión de Zoom en el Evening Standard, otro periódico de Londres. Esa reunión fue seguida por un artículo del Financial Times sobre las licencias y los recortes salariales del Evening Standard.

1 de mayo de 2020: fallas de seguridad en otro software de videoconferencia

Zoom no es la única plataforma de videoconferencia que tiene políticas de privacidad cuestionables, Consumidor Informes (se abre en una pestaña nueva) dijo en una publicación de blog: Cisco Webex, Microsoft’s Teams y Skype, y Google’s Duo, Meet y Hangouts también lo hacen.

«Las tres compañías pueden recopilar datos mientras estás en una videoconferencia, combinarlos con información de intermediarios de datos y otras fuentes para crear perfiles de consumidores y, potencialmente, aprovechar los videos para fines como entrenar sistemas de reconocimiento facial», dijo Consumer Reports.

Consumer Reports dijo que debe saber que todo en una reunión de video puede ser grabado, ya sea por el anfitrión o por otro participante.

También recomendó marcar reuniones de videoconferencia por teléfono, no crear cuentas con los servicios si es posible y usar direcciones de correo electrónico «quemadoras» de lo contrario.

30 de abril de 2020: Zoom atrapado mintiendo nuevamente

Zoom acciones de acciones cayó casi un 9% el jueves (se abre en una pestaña nueva)30 de abril, día en que la empresa se unió al índice bursátil NASDAQ 100.

Después de la insistencia de los reporteros en el borde (se abre en una pestaña nueva)Zoom admitió que, de hecho, no tuvo un pico reciente de 300 millones de usuarios diarios, como se indicó en una publicación de blog la semana pasada.

Más bien, Zoom tuvo un pico de 300 millones de «participantes» diarios. Si asiste a más de una reunión de Zoom por día, se le cuenta como un «participante» separado cada vez.

«Involuntariamente nos referimos a estos participantes como ‘usuarios’ y ‘personas'», dijo Zoom en un comunicado a The Verge. «Fue un verdadero descuido de nuestra parte».

Entonces, ¿cuántos usuarios diarios tiene Zoom ahora? La empresa no ha dicho.

30 de abril de 2020: más instaladores de Zoom integrados con malware

Los investigadores de Trend Micro detectaron otro archivo de instalación de Zoom que se había corrompido con malware.

En este caso, es un software espía que puede encender la cámara web, tomar capturas de pantalla y registrar pulsaciones de teclas, así como recopilar datos de diagnóstico sobre el sistema en el que se está ejecutando. También instala una versión completamente funcional del cliente de escritorio Zoom.

«Dado que el sistema descargó una versión legítima de la aplicación Zoom (4.6), los usuarios no sospecharán», señaló el equipo de Trend Micro en una publicación de blog. «Sin embargo, el sistema ya se ha visto comprometido en este punto».

No necesita instalar ningún software en su escritorio para ejecutar Zoom. Pero si es necesario, obtenga ese software solo del sitio web oficial en https://zoom.us/download (se abre en una pestaña nueva).

29 de abril de 2020: Zoom, un objetivo para los piratas informáticos extranjeros

Zoom es un objetivo principal para los espías extranjeros, especialmente los agentes de inteligencia chinos, advirtió el Departamento de Seguridad Nacional a las agencias gubernamentales y policiales de EE. UU., según ABC Noticias (se abre en una pestaña nueva).

“El repentino y enorme crecimiento y uso de Zoom en entidades del sector público y privado en combinación con sus problemas de ciberseguridad altamente publicitados crea un entorno vulnerable y rico en objetivos”, supuestamente dice el análisis de inteligencia del DHS. “Cualquier organización que actualmente use, o esté considerando usar, Zoom debe evaluar el riesgo de su uso”.

Los espías extranjeros estarían interesados en cualquier medio de comunicación basado en Internet que experimente un crecimiento tan pronunciado. Pero el informe del DHS señaló a China como un posible entrometido en la seguridad de Zoom porque Zoom tiene una cantidad sustancial de empleados en ese país.

“El acceso de China a los servidores de Zoom hace que Beijing esté en una posición única para dirigirse a los usuarios del sector público y privado de EE. UU.”, dijo ABC News citando el informe del DHS.

Sin embargo, la semana pasada, Zoom les dio a los anfitriones de reuniones pagas la opción de evitar los servidores de Zoom en regiones específicas, incluidas China y América del Norte. Los anfitriones de Zoom no pagados usarán de forma predeterminada solo servidores en sus regiones de origen.

Un portavoz de Zoom le dijo a ABC News que el informe del DHS estaba «muy mal informado» e incluía «inexactitudes flagrantes».

28 de abril de 2020: ¿Zoom es más seguro de usar que FaceTime de Apple?

Un nuevo informe de Mozilla, el fabricante sin fines de lucro del navegador web Firefox, dice que las políticas y prácticas de privacidad y seguridad de Zoom son mejores que las de Apple FaceTime.

Zoom obtiene 5/5 en encriptación, seguridad de contraseña, actualizaciones, informes de errores y privacidad, dice el informe, igualando a Skype, Signal, Bluejeans y el trío de Google de Duo, Hangouts y Meet.

FaceTime obtuvo solo 4.5 / 5 porque el servicio de videollamadas de Apple no requiere que el usuario inicie sesión en la aplicación de forma independiente.

28 de abril de 2020: la estafa de phishing de Zoom se aprovecha de los temores de trabajar desde casa

Una nueva estafa de phishing de Zoom seguramente llamará la atención de cualquiera que trabaje desde casa durante el bloqueo del coronavirus.

Parece provenir del departamento de recursos humanos de su empleador y lo invita a unirse a una reunión de Zoom que comienza en unos minutos para discutir la posible terminación de su empleo.

Si hace clic en el enlace del correo electrónico para unirse a la reunión, accederá a una página de inicio de sesión de Zoom muy real. Es falso. Si ingresa sus credenciales, los delincuentes pueden apoderarse de su cuenta de Zoom.

27 de abril de 2020: lanzamiento de Zoom 5.0

Zoom finalmente actualizó su software de cliente de reuniones a la versión 5.0, anunciado la semana pasada. Aquí está nuestra guía sobre cómo actualizar a Zoom 5.0.

La actualización aún no está disponible para iOS, ya que Apple tiene que examinar el software antes de que se pueda lanzar la nueva versión de la aplicación. Tampoco pudimos ver en la tienda de aplicaciones Google Play a partir del lunes por la tarde, hora del este (27 de abril), pero es probable que aparezca pronto.

24 de abril de 2020: Zoom anuncia que se unirá al índice NASDAQ 100

Acciones de la empresa Zoom resucitó el viernes (se abre en una pestaña nueva) después de que la bolsa de valores NASDAQ anunciara que Zoom se sumaría al índice NASDAQ 100 (se abre en una pestaña nueva) jueves, 30 de abril.

Es posible que ninguna otra empresa se haya beneficiado más de las órdenes de quedarse en casa durante la crisis del coronavirus. Es difícil imaginar que Zoom se uniría al NASDAQ 100 si su tráfico diario no se hubiera disparado de 10 millones de usuarios en diciembre de 2019 a 300 millones a mediados de abril.

23 de abril de 2020: las acciones de Zoom aumentan

A pesar de todas las malas noticias sobre Zoom, el precio de las acciones de la compañía aumentó (se abre en una pestaña nueva) el jueves, ganando un 9% después el anuncio de que el número de usuarios diarios había aumentado a 300 millones (se abre en una pestaña nueva).

Para poner eso en perspectiva, el uso diario alcanzó un máximo de 200 millones de personas por día en marzo, la compañía dijo el 1 de abril (se abre en una pestaña nueva). En diciembre de 2019, el uso de Zoom alcanzó un máximo de 10 millones de usuarios diarios.

22 de abril de 2020: Zoom 5.0 anunciado

en un anuncio de prensa / publicación de blog algo engañoso (se abre en una pestaña nueva)Zoom anunció la llegada de la versión 5.0 de su software de escritorio para Windows, Mac y Linux.

La nueva versión incluirá muchas de las correcciones de seguridad que hemos visto recientemente para la interfaz web de Zoom, incluida la capacidad de expulsar a los bombarderos de Zoom de las reuniones, asegurarse de que los datos de la reunión no pasen por China y poner a todos esperando una reunión. en una «sala de espera». También agrega un ícono de seguridad a la pantalla del anfitrión y un mejor cifrado para las reuniones de Zoom.

Lo revisamos los registros de cambios de Zoom (se abre en una pestaña nueva) y descubrió que la actualización no estará disponible hasta el domingo 26 de abril.

22 de abril de 2020: extracción de información con software de cliente Zoom falso

Los investigadores de Cisco Talos dijeron que la función de chat de reunión de Zoom hizo que fuera demasiado fácil para los extraños encontrar a todos los usuarios de Zoom en una organización en particular.

Si tenía una cuenta de Zoom válida, Cisco Talos explicado en una publicación de blog (se abre en una pestaña nueva)puede fingir que trabajó en cualquier organización y obtener los nombres completos y las identificaciones de chat de cada usuario de Zoom registrado cuya dirección de correo electrónico utilizó el dominio de correo electrónico de esa organización.

No tendría que verificar que trabajó allí, y ni siquiera necesitaría estar en una reunión de Zoom para obtener la información.

Esa información «podría aprovecharse para revelar más información de contacto, incluida la dirección de correo electrónico del usuario, el número de teléfono y cualquier otra información que esté presente en su vCard» o tarjeta de presentación digital, escribió Cisco Talos.

“Esta vulnerabilidad podría ser explotada por un ataque de phishing dirigido contra personas conocidas de una organización para volcar las direcciones de correo electrónico de todos los usuarios de Zoom dentro de la organización”, dijo la publicación de Cisco Talos. «Los usuarios que recientemente han tenido que instalar un nuevo software para configurar el trabajo remoto pueden ser particularmente susceptibles a los correos electrónicos de ingeniería social que pretenden instruir a los usuarios para que instalen un ‘cliente Zoom’ troyano nuevo o actualizado».

Afortunadamente, Zoom solucionó este problema, que se encontraba completamente en el lado del servidor.

ESTADO: Fijado.

21 de abril de 2020: Nuevo actualizaciones

en un entrada en el blog (se abre en una pestaña nueva) El 20 de abril, Zoom dijo que la opción de excluir ciertos países del enrutamiento de llamadas ya estaba disponible. Esto permitirá a los administradores de reuniones de Zoom evitar que los datos de la reunión se enruten a través de servidores de Zoom en China, EE. UU. u otras siete regiones y países.

Nuevo actualizaciones de la plataforma Zoom (se abre en una pestaña nueva) para la interfaz web lanzada el 19 de abril incluyen enmascarar cierta información personal de los participantes, como direcciones de correo electrónico o números de teléfono, durante las reuniones. Otro cambio es que los usuarios que comparten el mismo dominio de correo electrónico ya no podrán buscarse por nombre.

20 de abril de 2020: Dropbox creó su propio programa de recompensas por errores para Zoom

los New York Times (se abre en una pestaña nueva) informó que los ejecutivos de Dropbox estaban tan preocupados por las fallas de seguridad en Zoom que en 2018, Dropbox creó su propio programa secreto de recompensas por fallas de Zoom.

En otras palabras, Dropbox pagaría a los piratas informáticos por las vulnerabilidades de seguridad que encontraran en Zoom. (El personal de Dropbox usaba Zoom regularmente, y Dropbox era un inversionista en Zoom). The Times informó que Dropbox confirmaría las fallas y luego se las pasaría a Zoom para que Zoom pudiera corregirlas.

17 de abril de 2020: Encontrar grabaciones de reuniones de Zoom en línea es fácil (parte 2)

Las grabaciones de video de reuniones de Zoom guardadas en los servidores en la nube de Zoom se pueden descubrir fácilmente y ver con frecuencia, dijo un investigador de seguridad. Cnet (se abre en una pestaña nueva).

Phil Guimond (se abre en una pestaña nueva) notó que las grabaciones en línea de las reuniones de Zoom tienen una estructura de URL predecible y, por lo tanto, son fáciles de encontrar. (The Washington Post informó la semana pasada sobre un problema similar con las grabaciones de Zoom que los usuarios habían subido a servidores en la nube de terceros. En esos casos, los nombres de archivo de las grabaciones de reuniones siguieron un patrón predecible).

Hasta que Zoom lanzó una serie de actualizaciones (se abre en una pestaña nueva) el martes pasado, no se requería que las grabaciones de las reuniones de Zoom estuvieran protegidas con contraseña.

Guimond creó una herramienta simple que busca automáticamente las grabaciones de reuniones de Zoom e intenta abrirlas.

Si una reunión tiene una contraseña, su herramienta intenta forzar el acceso mediante la ejecución de millones de contraseñas posibles. Si se puede ver la grabación de una reunión, también se puede ver la ID de la reunión de Zoom, y el atacante podría acceder a futuras reuniones recurrentes.

Para derrotar a la herramienta automatizada de Guimond, Zoom agregó un desafío de Captcha, que obliga al posible observador de la grabación de la reunión a demostrar que es un ser humano. Pero, dijo Guimond, el patrón de URL sigue siendo el mismo y los atacantes aún podrían intentar abrir cada resultado generado manualmente.

ESTADO: Mitigado con obstáculos adicionales contra el ataque, pero no solucionado realmente.

16 de abril de 2020: Zoom renueva su programa de recompensas por errores

Zoom anunció que estaba contratando a Luta Security (se abre en una pestaña nueva)una firma de consultoría encabezada por Katie Moussouris, para renovar el programa «bug bounty» de Zoom, que paga a los piratas informáticos para encontrar fallas en el software.

Moussouris creó los primeros programas de recompensas por errores en Microsoft y el Pentágono. En su propia entrada de blog (se abre en una pestaña nueva)anunció que Zoom traería otras firmas e investigadores de seguridad de la información bien considerados para mejorar su seguridad.

En su webinar semanal, según ZDNet (se abre en una pestaña nueva)Zoom también dijo que también permitiría que los anfitriones de la reunión informaran a los usuarios abusivos, y el consultor de seguridad recién contratado Alex Stamos dijo que Zoom cambiaría a un estándar de cifrado más robusto después de que se descubriera que faltaba el cifrado existente de Zoom.

En otras noticias, un congresista se ha quejado de que una sesión informativa del Congreso celebrada por Zoom el 3 de abril fue «bombardeada con zoom» (se abre en una pestaña nueva) al menos tres veces.

15 de abril de 2020: Funcionario del banco advierte sobre los peligros de las reuniones remotas

El director de Standard Chartered, un banco multinacional con sede en Londres, advirtió a los empleados que no usen Zoom o Google Hangouts para reuniones remotas, citando preocupaciones de seguridad, según Reuters (se abre en una pestaña nueva).

Standard Chartered utiliza principalmente la plataforma rival de videoconferencia Blue Jeans, según dos empleados del banco que hablaron de forma anónima.

El año pasado, Standard Chartered acordó pagar a los reguladores británicos y estadounidenses $ 1.1 mil millones (se abre en una pestaña nueva) después de admitir que el banco violó las sanciones comerciales a Irán.

15 de abril de 2020: Zoom zero-day exploits a la venta por $ 500,000

Aparentemente, los piratas informáticos ofrecen vender dos exploits de «día cero» en Zoom al mejor postor, Vicio (se abre en una pestaña nueva) informes.

Los días cero son ataques que se aprovechan de las vulnerabilidades que el fabricante del software desconoce y contra las cuales los usuarios tienen poca o ninguna defensa.

Las fuentes que le dijeron a Vice sobre los días cero dijeron que un exploit es para Windows y permite que un atacante remoto obtenga el control total de la computadora de un objetivo. El problema es que el atacante y el objetivo deben estar en la misma llamada de Zoom. Su precio de venta es de $ 500.000.

«Creo que son solo los niños los que esperan triunfar», dijo una fuente no identificada a Vice.

Se dice que el otro día cero es para macOS y menos serio.

ESTADO: Aparentemente sin arreglar.

14 de abril de 2020: los usuarios pagos pueden elegir su región de datos

Zoom Anunciado (se abre en una pestaña nueva) 13 de abril que los usuarios de cuentas pagas de Zoom podrían elegir a través de qué región del mundo se enrutarían sus datos: Australia, Canadá, China, Europa, India, Japón/Hong Kong, América Latina o Estados Unidos.

Esta es una reacción al descubrimiento a principios de abril de que muchas reuniones de Zoom organizadas por residentes de EE. UU. y en las que participaban se habían enrutado a través de servidores con sede en China, un país que conserva el derecho de ver cualquier cosa que suceda en un servidor ubicado en el país sin una orden judicial.

Los datos de los usuarios del servicio gratuito de Zoom solo serán manejados por servidores en sus regiones.

ESTADO: Esta opción ahora está disponible para usuarios pagos de Zoom que usan la interfaz web en lugar del software de escritorio. El software de escritorio Zoom para Windows, Mac y Linux estará disponible el 26 de abril.

Problemas abiertos/no resueltos

Más de 500.000 cuentas de Zoom en juego

Los nombres de usuario y las contraseñas de más de 500 000 cuentas de Zoom se venden o regalan en mercados delictivos.

Estas cuentas no se vieron comprometidas como resultado de una violación de datos de Zoom, sino a través del relleno de credenciales. Es entonces cuando los delincuentes intentan desbloquear las cuentas reutilizando las credenciales de las cuentas comprometidas en filtraciones de datos anteriores. Funciona solo si el titular de una cuenta usa la misma contraseña para más de una cuenta.

ESTADO: Desconocido, pero esto no es culpa de Zoom.

Los investigadores de IngSights descubrieron un conjunto de 2300 credenciales de inicio de sesión de Zoom que se compartían en un foro criminal en línea.

«Además de las cuentas personales, había muchas cuentas corporativas pertenecientes a bancos, empresas de consultoría, centros educativos, proveedores de atención médica y proveedores de software, entre otros», dijo IntSight. Étay Maor (se abre en una pestaña nueva) escribió en una publicación de blog el 10 de abril.

«Mientras que algunas de las cuentas ‘solo’ incluían un correo electrónico y una contraseña, otras incluían ID de reuniones, nombres y claves de anfitrión», escribió Maor.

Maor dijo mensaje de amenaza (se abre en una pestaña nueva) no parecía que las credenciales provinieran de una violación de datos de Zoom, dado su número relativamente pequeño. Teorizó que provenían de «pequeñas listas y bases de datos mantenidas por otras empresas/agencias».

También es posible que algunas de las credenciales fueran el resultado del «relleno de credenciales». Ese es el proceso (en gran parte) automatizado mediante el cual los delincuentes intentan iniciar sesión en sitios web recorriendo direcciones de correo electrónico probables y contraseñas probables, y luego recolectan lo que sea que arroja un resultado positivo.

ESTADO: Desconocido. Es probable que esto no sea un problema de Zoom per se.

Hazañas de ‘día cero’ de Zoom

Los investigadores de seguridad de la información conocen varios exploits de «día cero» de Zoom (se abre en una pestaña nueva), según Vice. Los días cero son explotaciones de vulnerabilidades de software que el fabricante del software no conoce y no ha solucionado y, por lo tanto, tiene «días cero» para prepararse antes de que aparezcan las vulnerabilidades.

Sin embargo, una fuente de Vice dio a entender que otras soluciones de videoconferencia también tenían fallas de seguridad. Otra fuente dijo que los días cero de Zoom no se vendían por mucho dinero debido a la falta de demanda.

ESTADO: Sin resolver hasta que algunos de estos defectos ven a la luz.

Cuentas comprometidas de Zoom negociadas en línea

Los delincuentes intercambian cuentas de Zoom comprometidas en la «web oscura» noticias de Yahoo (se abre en una pestaña nueva) informado.

Aparentemente, esta información provino de la firma de ciberseguridad israelí Sixgill, que se especializa en monitorear la actividad criminal en línea clandestina. No pudimos encontrar ninguna mención de los hallazgos en el sitio web de Sixgill (se abre en una pestaña nueva).

Sixgill le dijo a Yahoo que había detectado 352 cuentas de Zoom comprometidas que incluían ID de reuniones, direcciones de correo electrónico, contraseñas y claves de anfitrión. Algunas de las cuentas pertenecían a escuelas, una a una pequeña empresa y una a un gran proveedor de atención médica, pero la mayoría eran personales.

ESTADO: No es realmente un error, pero definitivamente vale la pena preocuparse. Si tiene una cuenta de Zoom, asegúrese de que su contraseña no sea la misma que la contraseña de cualquier otra cuenta que tenga.

Instalador de Zoom incluido con malware

Investigadores en Tendencia Micro (se abre en una pestaña nueva) descubrió una versión del instalador de Zoom que se ha incluido con malware de minería de criptomonedas, es decir, un minero de monedas.

El instalador de Zoom instalará la versión 4.4.0.0 de Zoom en su PC con Windows, pero viene con un minero de monedas al que Trend Micro le ha dado el nombre pegadizo Trojan.Win32.MOOZ.THCCABO. (Por cierto, el último software de cliente de Zoom para Windows es hasta la versión 4.6.9, y solo debe obtenerlo de aquí (se abre en una pestaña nueva).)

El minero de monedas aumentará la unidad de procesamiento central de su PC y su tarjeta gráfica, si la hay, para resolver problemas matemáticos con el fin de generar nuevas unidades de criptomonedas. Lo notará si sus ventiladores aceleran repentinamente o si el Administrador de tareas de Windows (presione Ctrl + Shift + Esc) muestra un uso de CPU/GPU inesperado.

Para evitar ser atacado por este malware, asegúrese de estar ejecutando uno de los mejores programas antivirus y no haga clic en ningún enlace en correos electrónicos, publicaciones en redes sociales o mensajes emergentes que prometan instalar Zoom en su máquina.

ESTADO: Abierto, pero este no es el problema de Zoom para solucionarlo. No puede evitar que otras personas copien y redistribuyan su software de instalación.

El cifrado de zoom no es lo que dice ser

Zoom no solo engaña a los usuarios sobre su «cifrado de extremo a extremo» (ver más abajo), sino que parece no decir la verdad sobre la calidad de su algoritmo de cifrado.

Zoom dice que usa el cifrado AES-256 para codificar datos de video y audio que viajan entre los servidores de Zoom y los clientes de Zoom (es decir, usted y yo). Pero los investigadores de la Laboratorio ciudadano (se abre en una pestaña nueva) en la Universidad de Toronto, en un informe publicado el 3 de abril, descubrió que Zoom en realidad usa el algoritmo AES-128 algo más débil.

Peor aún, Zoom utiliza una implementación interna del algoritmo de cifrado que conserva los patrones del archivo original. Es como si alguien dibujara un círculo rojo en una pared gris y luego un censor pintara sobre el círculo rojo con un círculo blanco. No estás viendo el mensaje original, pero la forma sigue ahí.

«Desalentamos el uso de Zoom en este momento para casos de uso que requieren una gran privacidad y confidencialidad», dice el informe de Citizen Lab, como «gobiernos preocupados por el espionaje, empresas preocupadas por el ciberdelito y el espionaje industrial, proveedores de atención médica que manejan información confidencial de pacientes». y «activistas, abogados y periodistas que trabajan en temas delicados».

ESTADO: Irresoluto. En una entrada de blog del 3 de abril de CEO de Zoom, Eric S. Yuan (se abre en una pestaña nueva) reconoció el problema del cifrado, pero solo dijo que «reconocemos que podemos hacerlo mejor con nuestro diseño de cifrado» y «esperamos tener más para compartir en este frente en los próximos días».

En el anuncio de Zoom de la próxima actualización de software de escritorio del 26 de abril, Zoom dijo que sería actualizar la implementación de cifrado (se abre en una pestaña nueva) a un mejor formato para todos los usuarios antes del 30 de mayo.

El software Zoom puede corromperse fácilmente

Un buen software tiene mecanismos antimanipulación incorporados para asegurarse de que las aplicaciones no ejecuten código que haya sido alterado por un tercero.

Zoom tiene tales mecanismos antimanipulación, lo cual es bueno. Pero esos mecanismos antimanipulación en sí mismos no están protegidos contra la manipulación, dijo un estudiante de informática británico que se hace llamar «lloyd (se abre en una pestaña nueva)«en una publicación de blog el 3 de abril.

No hace falta decir que eso es malo. Lloyd mostró cómo el mecanismo antimanipulación de Zoom puede desactivarse fácilmente o incluso reemplazarse con una versión maliciosa que secuestra la aplicación.

Si está leyendo esto con un conocimiento práctico de cómo funciona el software de Windows, este es un pasaje bastante condenatorio: «Este archivo DLL se puede descargar de forma trivial, lo que hace que el mecanismo antimanipulación sea nulo e inválido. El archivo DLL no está anclado, lo que significa que un atacante de un proceso de terceros podría simplemente inyectar un subproceso remoto».

En otras palabras, el malware que ya está presente en una computadora podría usar el propio mecanismo antimanipulación de Zoom para manipular Zoom. Los delincuentes también podrían crear versiones completamente funcionales de Zoom que hayan sido alteradas para realizar actos maliciosos.

ESTADO: Irresoluto.

Bombardeo de zoom

Cualquiera puede «bombardear» una reunión pública de Zoom si conoce el número de la reunión, y luego usar la foto para compartir archivos para publicar imágenes impactantes o hacer sonidos molestos en el audio. los El FBI incluso advirtió al respecto. (se abre en una pestaña nueva) hace unos días.

El anfitrión de la reunión de Zoom puede silenciar o incluso expulsar a los alborotadores, pero pueden regresar con nuevas identificaciones de usuario. La mejor manera de evitar el bombardeo de Zoom es no compartir los números de las reuniones de Zoom con nadie más que con los participantes previstos. También puede solicitar a los participantes que utilicen una contraseña para iniciar sesión en la reunión.

El 3 de abril, la Oficina del Fiscal Federal para el Distrito Este de Michigan dijo que «cualquiera que piratee una teleconferencia puede ser acusado de delitos estatales o federales». No está claro si eso se aplica solo al este de Michigan.

ESTADO: Hay maneras fáciles de evitar el bombardeo de Zoom, que analizamos aquí.

Fugas de direcciones de correo electrónico y fotos de perfil.

Zoom coloca automáticamente a todos los que comparten el mismo dominio de correo electrónico en una carpeta de «empresa» donde pueden ver la información de los demás.

Se hacen excepciones para las personas que usan grandes clientes de correo web como Gmail, Yahoo, Hotmail o Outlook.com, pero aparentemente no para proveedores de correo web más pequeños que Zoom podría no conocer.

Varios usuarios holandeses de Zoom que usan direcciones de correo electrónico proporcionadas por ISP descubrieron repentinamente que estaban en la misma «compañía» con docenas de extraños, y podían ver sus direcciones de correo electrónico, nombres de usuario y fotos de usuario.

ESTADO: Sin resolver, pero una actualización de software de Zoom del 19 de abril (se abre en una pestaña nueva) para los usuarios de la interfaz web de Zoom se asegura de que los usuarios del mismo dominio de correo electrónico ya no puedan buscarse automáticamente entre sí por su nombre. El software del cliente de escritorio de Zoom obtendrá correcciones similares el 26 de abril.

Varios expertos en privacidad, algunos de los cuales trabajan para Consumer Reports, estudiaron detenidamente la política de privacidad de Zoom y descubrieron que aparentemente le otorgaba a Zoom el derecho de usar los datos personales de los usuarios de Zoom y compartirlos con terceros.

Siguiendo un Informes de los consumidores (se abre en una pestaña nueva) En una publicación de blog, Zoom reescribió rápidamente su política de privacidad, eliminando los pasajes más perturbadores y afirmando que «no vendemos sus datos personales».

ESTADO: Desconocido. No conocemos los detalles de los tratos comerciales de Zoom con anunciantes externos.

Puede ‘impulsar la guerra’ para encontrar reuniones abiertas de Zoom

Puedes encontrar reuniones abiertas de Zoom (se abre en una pestaña nueva) al recorrer rápidamente las posibles identificaciones de reuniones de Zoom, le dijo un investigador de seguridad al bloguero de seguridad independiente Brian Krebs.

El investigador superó el bloqueador de escaneo de reuniones de Zoom ejecutando consultas a través de Tor, que aleatorizó su dirección IP. Es una variación de la «conducción de guerra» al marcar números de teléfono al azar para encontrar módems abiertos en los días de acceso telefónico.

El investigador le dijo a Krebs que podía encontrar alrededor de 100 reuniones abiertas de Zoom cada hora con la herramienta, y que «tener una contraseña habilitada en el [Zoom] el encuentro es lo único que lo vence”.

ESTADO: Desconocido.

Los chats de reuniones de Zoom no se mantienen privados

Dos Gorjeo (se abre en una pestaña nueva) usuarios (se abre en una pestaña nueva) señaló que si está en una reunión de Zoom y usa una ventana privada en la aplicación de chat de la reunión para comunicarse en privado con otra persona en la reunión, esa conversación será visible en la transcripción del final de la reunión que el anfitrión recibe

ESTADO: Desconocido.

Problemas resueltos/arreglados

La falla de Zoom permitió el secuestro de cuentas

Y investigador de seguridad kurdo (se abre en una pestaña nueva) dijo que Zoom le pagó una recompensa por errores, una recompensa por encontrar una falla grave, por descubrir cómo secuestrar una cuenta de Zoom si la dirección de correo electrónico del titular de la cuenta era conocida o adivinada.

El investigador, que se hace llamar «s3c» pero cuyo nombre real puede ser Yusuf Abdulla, dijo que si intentaba iniciar sesión en Zoom con una cuenta de Facebook, Zoom le pediría la dirección de correo electrónico asociada con esa cuenta de Facebook. Luego, Zoom abriría una nueva página web notificándole que se había enviado un mensaje de correo electrónico de confirmación a esa dirección de correo electrónico.

La URL de la página web de notificación tendría una etiqueta de identificación única en la barra de direcciones. Como ejemplo que es mucho más corto que el real, digamos que es «zoom.com/signup/123456XYZ».

Cuando s3c recibió y abrió el mensaje de correo electrónico de confirmación enviado por Zoom, hizo clic en el botón de confirmación en el cuerpo del mensaje. Esto lo llevó a otra página web que confirmó que su dirección de correo electrónico ahora estaba asociada con una nueva cuenta. Hasta aquí todo bien.

Pero luego s3c notó que la etiqueta de identificación única en la URL de la página web de confirmación de Zoom era idéntica a la primera etiqueta de identificación. Usemos el ejemplo «zoom.com/confirmation/123456XYZ».

Las etiquetas de identificación coincidentes, una utilizada antes de la confirmación y la otra después de la confirmación, significaron que s3c podría haber evitado recibir el correo electrónico de confirmación y hacer clic en el botón de confirmación por completo.

De hecho, podría haber ingresado CUALQUIER dirección de correo electrónico, la suya, la mía o billgates@gmail.com, en el formulario de registro original. Luego podría haber copiado la etiqueta de identificación de la página de notificación de Zoom resultante y pegado la etiqueta de identificación en una página de confirmación de cuenta de Zoom ya existente.

Boom, tendría acceso a cualquier cuenta de Zoom creada con la dirección de correo electrónico objetivo.

“Incluso si ya vinculó su cuenta con una cuenta de Facebook, Zoom la desvincula automáticamente y la vincula con la cuenta de Facebook del atacante”, escribió s3c en su inglés imperfecto.

Y debido a que Zoom permite que cualquiera que use una dirección de correo electrónico de la empresa vea a todos los demás usuarios registrados con el mismo dominio de correo electrónico, por ejemplo, «empresa.com», s3c podría haber aprovechado este método para robar TODAS las cuentas de Zoom de una empresa determinada.

«Entonces, si un atacante crea una cuenta con la dirección de correo electrónico atacante@nombredeempresa.com y la verifica con este error», escribió s3c, «el atacante puede ver todos los correos electrónicos creados con *@nombredeempresa.com en la aplicación Zoom en los contactos de la empresa para que significa que el atacante puede hackear todas las cuentas de la empresa».

Zoom tiene la suerte de que s3c es uno de los buenos y no reveló públicamente esta falla antes de que Zoom pudiera solucionarla. Pero es un defecto tan simple que es difícil imaginar que nadie más lo haya notado antes.

ESTADO: Arreglado, gracias a Dios.

Zoom elimina ID de reuniones de las pantallas

Zoom ha lanzado actualizaciones para su ventanas, Mac OS y linux software de cliente de escritorio para que las ID de las reuniones no se muestren en la pantalla durante las reuniones. El primer ministro británico, Boris Johnson, mostró accidentalmente una identificación de reunión de Zoom en un tuit, y el gabinete belga cometió un error similar.

En un seminario web «pregúntame cualquier cosa» a principios de abril, el director ejecutivo de Zoom Eric S. Yuan (se abre en una pestaña nueva) dijo que Zoom había descubierto «una posible vulnerabilidad de seguridad con el intercambio de archivos, por lo que deshabilitamos esa función».

Hasta esta semana, los participantes de una reunión de Zoom podían compartir archivos entre ellos mediante la función de chat de la reunión.

ESTADO: Fijado.

Zoom claves criptográficas emitidas por servidores chinos

Esas claves de cifrado AES128 son emitidas a los clientes de Zoom por los servidores de Zoom, lo cual está muy bien, excepto que el Laboratorio ciudadano (se abre en una pestaña nueva) encontró varios servidores de Zoom en China que emitían claves para los usuarios de Zoom incluso cuando todos los participantes en una reunión estaban en América del Norte.

Dado que los servidores de Zoom pueden descifrar las reuniones de Zoom, y las autoridades chinas pueden obligar a los operadores de servidores chinos a entregar datos, la implicación es que el gobierno chino podría ver sus reuniones de Zoom.

Esas deben ser malas noticias para el gobierno británico, que ha celebrado al menos una reunión de gabinete por Zoom.

ESTADO: Aparentemente arreglado. En una entrada de blog del 3 de abril de CEO de Zoom, Eric S. Yuan (se abre en una pestaña nueva) respondió al informe de Citizen Lab diciendo que «es posible que se permitiera que ciertas reuniones se conectaran a sistemas en China, donde no deberían haber podido conectarse. Desde entonces, hemos corregido esto».

Falla de seguridad en las salas de espera de reuniones de Zoom

Zoom aconseja a los anfitriones de la reunión que establezcan «salas de espera» para evitar el «bombardeo de Zoom». Una sala de espera esencialmente mantiene a los participantes en espera hasta que un anfitrión los deja entrar, ya sea todos a la vez o uno a la vez.

El Citizen Lab dijo que encontró un grave problema de seguridad con las salas de espera de Zoom (se abre en una pestaña nueva), y aconsejó a los anfitriones y participantes que no los usen por ahora. Citizen Lab aún no ha revelado los detalles, pero le ha informado a Zoom sobre la falla.

“Aconsejamos a los usuarios de Zoom que deseen confidencialidad que no usen las salas de espera de Zoom”, dijo Citizen Lab en su informe. «En cambio, alentamos a los usuarios a usar la función de contraseña de Zoom».

ESTADO: Fijado. En un seguimiento de su informe inicial (se abre en una pestaña nueva). los investigadores de Citizen Lab revelaron que los asistentes no invitados a una reunión podían, sin embargo, obtener la clave de cifrado de la reunión en la sala de espera.

“El 7 de abril, Zoom nos informó que habían implementado una solución del lado del servidor para el problema”, dijeron los investigadores.

Robo de contraseñas de Windows

Las reuniones de Zoom tienen chats laterales en los que los participantes pueden enviar mensajes de texto y publicar enlaces web.

Pero según el usuario de Twitter @_g0dmode (se abre en una pestaña nueva) y empresa angloamericana de formación en ciberseguridad Casa de piratas informáticos (se abre en una pestaña nueva), Zoom hasta finales de marzo no hizo distinción entre las direcciones web regulares y un tipo diferente de enlace de red remoto llamado ruta de la Convención de nomenclatura universal (UNC). Eso dejó a los chats de Zoom vulnerables a los ataques.

Si un bombardero malicioso de Zoom deslizó una ruta UNC a un servidor remoto que controlaba en un chat de reunión de Zoom, un participante involuntario podría hacer clic en él.

La computadora con Windows del participante luego intentaría comunicarse con el servidor remoto del pirata informático especificado en la ruta e intentaría iniciar sesión automáticamente con el nombre de usuario y la contraseña de Windows del usuario.

El hacker podría capturar la contraseña «hash» y descifrarla, dándole acceso a la cuenta de Windows del usuario de Zoom.

ESTADO: La publicación del blog de Yuan dice que Zoom ahora ha solucionado este problema.

Inyección de malware de Windows

Mohamed A. Baset (se abre en una pestaña nueva) de la firma de seguridad Seekurity dijo en Twitter que la misma falla de ruta de archivo también permitiría que un pirata informático inserte una ruta UNC a un archivo ejecutable remoto en una sala de chat de Zoom.

Si un usuario de Zoom que ejecuta Windows hace clic en él, muestra un video publicado por Baset, la computadora del usuario intentará cargar y ejecutar el software. Se le pedirá a la víctima que autorice la ejecución del software, lo que detendrá algunos intentos de piratería, pero no todos.

ESTADO: Si el problema de la ruta del archivo UNC está solucionado, esto también debería solucionarse.

Hasta finales de marzo, Zoom envió perfiles de usuarios de iOS a Facebook (se abre en una pestaña nueva) como parte de la función «iniciar sesión con Facebook» en las aplicaciones Zoom para iPhone y iPad. Después de que Vice News expusiera la práctica, Zoom dijo que no estaba al tanto del intercambio de perfiles y actualizó las aplicaciones de iOS para solucionarlo.

ESTADO: Fijado.

Comportamiento similar al malware en Mac

Supimos el verano pasado que Zoom usó métodos similares a los de los piratas informáticos para eludir las precauciones de seguridad normales de macOS. Pensamos que ese problema se había solucionado entonces, junto con la falla de seguridad que creó.

Pero una serie de tuits del 30 de marzo del investigador de seguridad Felix Seele, quien notó que Zoom se instaló en su Mac sin las autorizaciones de usuario habituales, reveló que todavía había un problema.

¿Alguna vez se preguntó cómo funciona el instalador de macOS de @zoom_us sin que usted haga clic en instalar? Resulta que (ab) usan scripts de preinstalación, descomprimen manualmente la aplicación usando un 7zip incluido y la instalan en / Aplicaciones si el usuario actual está en el grupo de administración (no se necesita raíz). pic.twitter.com/qgQ1XdU11M30 de marzo de 2020

«Ellos (ab) usan scripts de preinstalación, desempaquetan manualmente la aplicación usando un empaquete 7zip e instálelo en / Aplicaciones si el usuario actual está en el grupo de administración (no se necesita root), «escribió Seele.

«La aplicación se instala sin que el usuario dé su consentimiento final y se utiliza un mensaje muy engañoso para obtener privilegios de root. Los mismos trucos que utiliza el malware macOS». (Seele explicó en una publicación de blog más fácil de usar aquí (se abre en una pestaña nueva).)

Fundador y CEO de Zoom Eric S. Yuan (se abre en una pestaña nueva) tuiteó una respuesta amistosa.

«Unirse a una reunión desde una Mac no es fácil, es por eso que Zoom y otros utilizan este método», escribió Yuan. «Su punto está bien tomado y continuaremos mejorando».

ACTUALIZAR: En un nuevo tuit del 2 de abril, Seele dijo que Zoom había lanzado una nueva versión del cliente Zoom para macOS que «elimina por completo la cuestionable técnica de ‘preinstalación’ y la solicitud de contraseña falsa».

«Debo decir que estoy impresionado. Esa fue una reacción rápida y completa. ¡Buen trabajo, @zoom_us!» Seele agregó.

Zoom acaba de lanzar una actualización para el instalador de macOS que elimina por completo la cuestionable técnica de «preinstalación» y la solicitud de contraseña falsa. Debo decir que estoy impresionado. Esa fue una reacción rápida y completa. ¡Buen trabajo, @zoom_us! pic.twitter.com/vau556TyAa2 de abril de 2020

ESTADO: Fijado.

Una puerta trasera para el malware de Mac

Otras personas podrían usar los métodos de instalación dudosos de Zoom en Mac, renombrado hacker de Mac Patricio Wardle (se abre en una pestaña nueva) dijo en una publicación de blog el 30 de marzo.

Wardle demostró cómo un atacante local, como un ser humano malicioso o un malware ya instalado, podría usar los poderes mágicos de instalación no autorizada de Zoom para «aumentar los privilegios» y obtener el control total de la máquina sin conocer la contraseña del administrador.

Wardle también mostró que un script malicioso instalado en el cliente Zoom Mac podría otorgar a cualquier pieza de malware los privilegios de la cámara web y el micrófono de Zoom, lo que no solicita la autorización del usuario y podría convertir cualquier Mac con Zoom instalado en un dispositivo de espionaje potencial.

«Esto le da al malware la capacidad de grabar todas las reuniones de Zoom, o simplemente generar Zoom en segundo plano para acceder al micrófono y la cámara web en momentos arbitrarios», escribió Wardle.

ESTADO: La publicación del blog de Yuan dice que Zoom solucionó estos defectos.

Otros asuntos

Zoom se compromete a corregir fallas

En una entrada de blog del 1 de abril de CEO y fundador de Zoom, Eric S. Yuan (se abre en una pestaña nueva) reconoció los dolores de crecimiento de Zoom y prometió que el desarrollo regular de la plataforma Zoom se suspendería mientras la compañía trabajaba para solucionar los problemas de seguridad y privacidad.

«Reconocemos que no hemos alcanzado las expectativas de privacidad y seguridad de la comunidad, y las nuestras», escribió Yuan, explicando que Zoom se había desarrollado para grandes empresas con personal de TI interno que podía configurar y ejecutar el software.

«Ahora tenemos un conjunto mucho más amplio de usuarios que utilizan nuestro producto en una miríada de formas inesperadas, lo que nos presenta desafíos que no anticipamos cuando se concibió la plataforma», dijo. «Estos nuevos casos de uso, en su mayoría de consumidores, nos han ayudado a descubrir problemas imprevistos con nuestra plataforma. Los periodistas dedicados y los investigadores de seguridad también han ayudado a identificar los preexistentes».

Para lidiar con estos problemas, escribió Yuan, Zoom «promulgaría una congelación de funciones, de manera efectiva de inmediato, y cambiaría todos nuestros recursos de ingeniería para enfocarnos en nuestros mayores problemas de confianza, seguridad y privacidad».

Entre otras cosas, Zoom también «realizaría una revisión exhaustiva con expertos externos y usuarios representativos para comprender y garantizar la seguridad de todos nuestros nuevos casos de uso de consumidores».

Zoom ahora requiere contraseñas de forma predeterminada para la mayoría de las reuniones de Zoom, aunque los anfitriones de las reuniones pueden desactivar esa función. Las contraseñas son la forma más fácil de detener el bombardeo de Zoom.

Y el 8 de abril, el ex director de seguridad de Facebook y Yahoo Alex Stamos (se abre en una pestaña nueva) dijo que trabajaría con Zoom para mejorar su seguridad y privacidad. Stamos ahora es profesor adjunto en Stanford y es muy apreciado dentro de la comunidad de seguridad de la información.

Cifrado falso de extremo a extremo

Zoom afirma que sus reuniones usan «cifrado de extremo a extremo» si cada participante llama desde una computadora o una aplicación móvil de Zoom en lugar de por teléfono. Pero bajo la presión de la intercepción (se abre en una pestaña nueva)un representante de Zoom admitió que las definiciones de Zoom de «extremo a extremo» y «punto final» no son las mismas que las de los demás.

«Cuando usamos la frase ‘Extremo a extremo'», dijo un portavoz de Zoom a The Intercept, «se refiere a que la conexión se cifra desde el punto final de Zoom hasta el punto final de Zoom».

Suena bien, pero el portavoz aclaró que contó con un servidor de Zoom como punto final.

Todas las demás empresas consideran que un punto final es un dispositivo de usuario (una computadora de escritorio, una computadora portátil, un teléfono inteligente o una tableta), pero no un servidor. Y todas las demás empresas entienden que el «cifrado de extremo a extremo» significa que los servidores que transmiten mensajes de un extremo a otro no pueden descifrar los mensajes.

Cuando envía un mensaje de Apple desde su iPhone a otro usuario de iPhone, los servidores de Apple ayudan a que el mensaje llegue de un lugar a otro, pero no pueden leer el contenido.

No es así con Zoom. Puede ver lo que sucede en sus reuniones y, a veces, puede que tenga que hacerlo para asegurarse de que todo funcione correctamente. Simplemente no creas la implicación de que no puede.

ACTUALIZAR: En una publicación de blog del 1 de abril, Zoom Chief Product Officer Chica Oded (se abre en una pestaña nueva) escribió que «queremos comenzar disculpándonos por la confusión que hemos causado al sugerir incorrectamente que las reuniones de Zoom eran capaces de usar el cifrado de extremo a extremo».

«Reconocemos que existe una discrepancia entre la definición comúnmente aceptada de cifrado de extremo a extremo y cómo la estábamos usando», escribió.

Gal aseguró a los usuarios que todos los datos enviados y recibidos por las aplicaciones cliente de Zoom (pero no las líneas telefónicas regulares, los sistemas de conferencias comerciales o, presumiblemente, las interfaces de navegador) están encriptados y que los servidores o el personal de Zoom «no los descifran en ningún momento antes de que lleguen». los clientes receptores».

Sin embargo, agregó Gal, «Zoom actualmente mantiene el sistema de gestión de claves para estos sistemas en la nube», pero ha «implementado controles internos robustos y validados para evitar el acceso no autorizado a cualquier contenido que los usuarios compartan durante las reuniones».

La implicación es que Zoom no descifra las transmisiones de los usuarios por elección. Pero debido a que posee las claves de encriptación, Zoom podría hacerlo si tuviera que hacerlo, por ejemplo, si se le presentara una orden judicial o una carta de seguridad nacional de EE. UU. (esencialmente, una orden secreta).

Para aquellos preocupados por la intromisión del gobierno, Gal escribió que «Zoom nunca ha creado un mecanismo para descifrar las reuniones en vivo con fines de intercepción legal, ni tenemos medios para insertar a nuestros empleados u otras personas en las reuniones sin que se reflejen en la lista de participantes».

Agregó que las empresas y otras empresas pronto podrán manejar su propio proceso de encriptación.

«Una solución estará disponible a finales de este año para permitir que las organizaciones aprovechen la infraestructura en la nube de Zoom pero al mismo tiempo alojen el sistema de gestión clave dentro de su entorno».

ESTADO: Este es un problema de publicidad engañosa en lugar de una falla real del software. Esperamos que Zoom deje de usar el término «cifrado de extremo a extremo» incorrectamente, pero tenga en cuenta que no obtendrá lo real con Zoom hasta que implemente completamente la tecnología que está comprando con Keybase.

Las grabaciones de reuniones de Zoom se pueden encontrar en línea

El investigador de privacidad Patrick Jackson notó que las grabaciones de reuniones de Zoom guardadas en la computadora del anfitrión generalmente reciben un cierto tipo de nombre de archivo.

Entonces buscó servidores en la nube desprotegidos para ver si alguien había subido grabaciones de Zoom y encontró más de 15,000 ejemplos desprotegidos, según el poste de washington (se abre en una pestaña nueva). Jackson también encontró algunas reuniones de Zoom grabadas en YouTube y Vimeo.

Esto no es realmente culpa de Zoom. Depende del anfitrión decidir si grabar una reunión, y Zoom ofrece a los clientes que pagan la opción de almacenar grabaciones en los propios servidores de Zoom. También depende del anfitrión decidir cambiar el nombre de archivo de la grabación.

Si organiza una reunión de Zoom y decide grabarla, asegúrese de cambiar el nombre de archivo predeterminado una vez que haya terminado.

ESTADO: Este no es realmente un problema de Zoom, para ser honesto.