Saltar al contenido

Nuevo error de Zoom: seguridad en riesgo si comparte su pantalla

zoom phishing

Investigadores de la empresa alemana de ciberseguridad SySS han descubierto un grave error de seguridad en Zoom, una de las plataformas de videoconferencia más utilizadas en el mundo. El error es muy específico: solo ocurre en aplicaciones para Windows y Linux y solo cuando la pantalla compartida está habilitada. Sin embargo, las consecuencias de este error podrían ser bastante graves, lo que llevó a los investigadores a revelar este problema después de esperar, en vano, a que Zoom lo corrigiera.

Lo que Zoom probablemente no hizo porque el problema se da en ocasiones muy especiales y para explotarlo con fines ilícitos es necesario conocerlo y es fundamental que el atacante esté grabando la pantalla durante la sesión de videoconferencia o la videollamada individual. Una coincidencia de hechos, por tanto, que Zoom considera improbable si el problema no se da a conocer al público en general. Ahora, sin embargo, todos conocen el problema y todos pueden aprovecharlo en su beneficio. Para esto es correcto tenga mucho cuidado al usar Zoom, esperando que llegue la solución final con un parche de reparación. Así es como funciona el error de Zoom y en qué ocasiones particulares debemos tener cuidado.

Bug Zoom: cuando ocurre

El error descubierto por los investigadores de SySS se manifiesta cuando compartimos la pantalla. En Zoom, puede elegir si desea compartir toda la pantalla, solo una ventana o solo una parte de la pantalla. Si optamos por compartir solo una ventana, puede surgir el problema: si se abre una aplicación en segundo plano justo debajo de la ventana que estamos compartiendo en Zoom, de hecho, por unas pocas fracciones de segundo esta nueva ventana será visible para todos usuarios conectados en la misma reunión.

Este es un tiempo muy corto (muy pocas fracciones de segundo) no suficiente para leer a simple vista la información contenida en la ventana que apareció y desapareció tan rápidamente. Pero si alguien se para grabando la reunión las cosas cambian: en la grabación final habrá pocas (pero fundamentales) marcos que muestran la ventana abierta en segundo plano y todo su contenido.

Contenido que, por supuesto, podría ser cualquier cosa: desde nuestra bandeja de entrada al navegador, a través del acceso a nuestra cuenta corriente en línea. Desde un punto de vista técnico, de hecho, nada cambia: todo lo que se abra se mostrará y se compartirá con todos, aunque sea por muy poco tiempo.

Zoom no responde

De los experimentos realizados por SySS, el error aparece solo con el versiones 5.4.3 y 5.5.4 de Zoom para Windows y Linux, mientras que en macOS y móvil no. SySS ya ha notificado a Zoom sobre la existencia de esta vulnerabilidad de seguridad en diciembre, pero sin obtener respuesta. Por este motivo, la empresa alemana ha decidido dar a conocer el error a todo el mundo, una elección que suelen hacer las empresas y los investigadores cuando no obtienen una respuesta sobre los errores descubiertos, para presionar a los desarrolladores.

Una opción bastante aceptable, dado que ha sido posible durante algún tiempo compartir una reunión de Zoom en YouTube y esto multiplica el número de personas que podrían acceder a los datos confidenciales de la emisora.

Zoom, como todas las principales plataformas web del mundo, tiene de hecho un "programa de recompensas"que proporciona recompensas en efectivo para aquellos que descubren vulnerabilidades de seguridad y no las hacen públicas hasta que se solucionan. Esta vez, sin embargo, Zoom descubrió que el error descubierto por SySS no era lo suficientemente grave como para merecer una recompensa. Quizás ahora cambie de opinión.

. (tagsToTranslate) aplicación (t) error (t) Linux (t) ciberseguridad (t) innovación (t) Windows

Tambien te puede interesar: