Zoom: Se descubre otra falla en la famosa empresa de video llamadas
Zoom: Se descubre otra falla en la famosa empresa de video llamadas. Zoom Video, también conocido como Zoom y Zoom App, es un programa de videollamadas y reuniones virtuales, accesible desde computadoras de escritorio, computadoras portátiles, teléfonos inteligentes y tabletas. Su fabricante es la empresa Zoom Video Communications, asentada en San José, California.
Anthony lo descubrió al intentar acceder a una videollamada del Gobierno del Reino Unido y descubrió un fallo en el cliente web que no cuantifica el número de intentos fallidos al introducir la clave. El analista detalló el proceso en su blog personal.
Cabe señalar que Zoom comenzó a requerir un código de acceso para todas las reuniones en abril, como medida preventiva para combatir los ataques de bombardeo con Zoom, que se refiere al hecho de interrumpir y secuestrar reuniones de Zoom sin invitación para compartir contenido inadecuado.
¿Dónde radica el problema?
Todo indica que está en la contraseña de 6 dígitos que Zoom asigna por defecto. Esto significa que hay 1 millón de contraseñas máximas, que al combinarse con la vulnerabilidad del cliente web de Zoom permite que un atacante pueda descifrar la clave en minutos.
Así que sólo fue cuestión de desarrollar un script de Phyton y arrancar un ataque de fuerza bruta para dar con el password de seis dígitos en cerca de 30 minutos.
El hecho de que las reuniones estaban, de forma predeterminada, aseguradas por un código de seis dígitos, significaba que solo podría haber un máximo de un millón de contraseñas.
Pero con la ausencia de comprobaciones para intentos repetidos de contraseña incorrecta, un atacante puede aprovechar el cliente web de Zoom para enviar continuamente solicitudes HTTP para probar todas las combinaciones.
Anthony dijo:
“Con una mejora en el subprocesamiento y la distribución a través de 4-5 servidores en la nube, podría verificar todo el espacio de la contraseña en unos minutos”
El ataque funcionó con reuniones recurrentes, lo que implica que los hackers podrían haber tenido acceso a las reuniones en curso una vez que se descifró el código de acceso.
Según cuenta Anthony, compartió el problema con la gente de Zoom de inmediato y ese habría sido el motivo por el que se inhabilitó tanto tiempo el cliente de navegadores web desde abril.
Zoom presento este mes otra falla conocida como la vulnerabilidad zero-day, la cual posibilitaba a cualquier persona ejecutar comandos de manera remota en equipos que ingresaran a una videollamada que tuvieran el sistema operativo Windows 7 o versiones anteriores.
Esperemos que siendo Zoom una aplicación tan usada arregle tantos agujeros de seguridad que esta teniendo y hasta los mas simples, hacen dudar de la seguridad que maneja esta empresa.