Miles de compañías y usuarios en todo el mundo podrían haber sido afectados por este gran fallo de seguridad de Zoom.
Jonathan Leitschuch, investigador de seguridad, publicó este lunes en Medium la inseguridad de utilizar Zoom en Mac por un error que permitía que un sitio web malicioso pudiera acceder a la webcam sin permiso.
¿Cómo pueden acceder a tu webcam?
La vulnerabilidad en la seguridad de Zoom es muy simple. Prácticamente cualquier persona podría acceder a la webcam de otro usuario.
Simplemente se ha de enviar un enlace de reunión. En el momento en el que el otro usuario abre ese enlace en su Mac, ya se puede acceder a su videocámara.
La razón por la que cualquier persona puede habilitar tu webcam se debe a un permiso que posee Zoom por defecto. Este permiso posibilita a cualquier usuario que desee realizar una reunión habilitar la cámara del resto de participantes. Es decir, al invitar a alguien a una reunión, en el momento en el que se envíe la invitación, por defecto su cámara se abrirá.
¿Cuándo se detectó esta vulnerabilidad?
El 26 de marzo de este año, el investigador de seguridad informó por email a Zoom del grave fallo de seguridad en su aplicación. En el email, Leitschuch detalló el fallo existente e indicó una posible «solución rápida». Por ello, propuso que la compañía solucionara el problema antes de 90 días o divulgaría públicamente el fallo.
Tras 10 días sin respuesta por parte de Zoom, la compañía finalmente le confirmó el fallo el 1 de abril de 2019.
Sin embargo, no fue hasta el 11 de junio, cuando el equipo de Zoom realizó una videoconferencia con Leitschuch. En esta videollamada, el investigador argumentó que las soluciones propuestas por Zoom para eliminar la vulnerabilidad eran incompletas.
El 24 de junio, finalizó el plazo de divulgación pública. El error se intentó corregir con la «solución rápida» propuesta por el investigador. Sin embargo, el 7 de julio el fallo vuelve a reaparecer.
Finalmente el 8 de julio Jonathan Leitschuch divulga públicamente la vulnerabilidad a través de Medium.
¿Cuál es la solución rápida al fallo?
No basta con desinstalar Zoom de Mac para solucionar el error. Pese a que se desinstale, la app puede reinstalarse automáticamente sin consentimiento. Por ello, la solución más sencilla y rápida reside en deshabilitar manualmente la configuración por defecto de Zoom.
Para modificar la configuración, se ha de acceder a ajustes de vídeo.
Por defecto aparece «Participantes: On», habiendo de modificarse por «Participantes: Off».
Sin embargo, primeramente lo que se deberá hacer es actualizar la aplicación y posteriormente realizar los cambios pertinentes. Esta solución no es completamente factible a nivel de seguridad, por lo que lo recomendable sería que Zoom deshabilitara la activación por defecto tal y como les recomendó Leitschuch.
¿Cuándo se solucionará por completo el problema?
Se espera que durante este mes Zoom actualice la aplicación modificando las preferencias al realizar una videoconferencia. Con ello, los usuarios tendrán la posibilidad de desactivar manualmente la cámara por defecto.
Fue el mismo equipo de Zoom quien decidió activar por defecto este permiso, según informa The Verge. La razón de ello era crear unas conexiones más intuitivas e inmediatas. Poder acceder con un clic a una reunión vía videoconferencia es uno de sus principales diferenciadores.
Defienden que su intención era dar a sus clientes la posibilidad de elegir cómo quieren realizar sus llamadas. Sin embargo, con el fallo, también reconocen el deseo de algunos usuarios de poder confirmar anticipadamente si así lo desean unirse a un grupo.
El problema todavía no ha sido resuelto. El investigador aconseja no utilizar la aplicación hasta la completa solución al gran fallo de seguridad ocasionado por Zoom.
Son miles las personas que utilizan Zoom. En 2015 ya eran usuarios de esta aplicación más de 40 millones de personas. Dado el gran crecimiento de Zoom desde 2015 y el porcentaje de usuarios de Mac (aproximadamente un 10%), 4 millones de usuarios podrían haber sido afectados por este error.
Por esta razón, el investigador insta a no utilizarla. Es más, a través de Medium ha hecho hincapié en el grave problema de seguridad y recomienda a otros investigadores explorar y analizar el servidor web. Recalca que aquellos investigadores que encuentren otro fallo, no informen directamente a Zoom. Más bien, recomienda que las informen a través de Zero Say Initiative (ZDI). Este es un programa de divulgación que paga a los investigadores por su trabajo realizado, pudiendo divulgar públicamente sus descubrimientos.