El año problemático de Zoom solo empeoró.
Ahora que una gran parte del mundo está trabajando desde casa para salir la pandemia de coronavirus, La popularidad de Zoom se ha disparado, pero también ha llevado a un mayor enfoque en las prácticas de seguridad y las promesas de privacidad de la compañía. Pisando los talones a dos investigadores de seguridad encontrar un error de Zoom que se puede abusar para robar contraseñas de Windows, otro investigador de seguridad encontró dos nuevos errores que se pueden usar para apoderarse de la Mac de un usuario de Zoom, incluido el uso de la cámara web y el micrófono.
Patrick Wardle, un ex pirata informático de la NSA y ahora investigador principal de seguridad en Jamf, eliminó los dos defectos previamente no revelados en su blog Miércoles, que compartió con TechCrunch.
Wardle dijo que los dos errores pueden ser lanzados por un atacante local, que es donde alguien tiene el control físico de una computadora vulnerable. Una vez explotado, el atacante puede obtener y mantener un acceso persistente a las entrañas de la computadora de la víctima, lo que le permite instalar malware o spyware.
El primer error de Wardle se basa en un hallazgo anterior. Zoom utiliza una técnica "sombría" – uno que también usa el malware de Mac – para instalar la aplicación de Mac sin interacción del usuario. Wardle descubrió que un atacante local con privilegios de usuario de bajo nivel puede inyectar al instalador de Zoom código malicioso para obtener el nivel más alto de privilegios de usuario, conocido como "root".
Esos privilegios de usuario de nivel raíz significan que el atacante puede acceder al sistema operativo macOS subyacente, que generalmente está prohibido para la mayoría de los usuarios, lo que facilita la ejecución de malware o spyware sin que el usuario lo note.
El segundo error explota una falla en cómo Zoom maneja la cámara web y el micrófono en Macs. Zoom, como cualquier aplicación que necesita la cámara web y el micrófono, primero requiere el consentimiento del usuario. Pero Wardle dijo que un atacante puede inyectar código malicioso en Zoom para engañarlo y darle al atacante el mismo acceso a la cámara web y al micrófono que Zoom ya tiene. Una vez que Wardle engañó a Zoom para que cargara su código malicioso, el código "heredará automáticamente" alguno o todos los derechos de acceso de Zoom, dijo, y eso incluye el acceso de Zoom a la cámara web y al micrófono.
"No se mostrarán mensajes adicionales, y el código inyectado pudo grabar arbitrariamente audio y video", escribió Wardle.
Debido a que Wardle dejó caer los detalles de las vulnerabilidades en su blog, Zoom aún no ha proporcionado una solución. Zoom tampoco respondió a la solicitud de comentarios de TechCrunch.
Mientras tanto, Wardle dijo: "si te preocupa tu seguridad y privacidad, quizás dejes de usar Zoom".