À medida que a pandemia global do COVID-19 transferia abruptamente todo o mundo do conhecimento para o trabalho de casa, as reuniões virtuais estão rapidamente se tornando um obstáculo para praticamente todo mundo que conheço.
Compartilhe esta notícia
Graças ao seu serviço de videoconferência multiplataforma incrivelmente fácil de usar, o Zoom era uma empresa B2B de sucesso muito antes da pandemia. Hoje, é um nome familiar além dos outdoors do aeroporto, pois aparentemente todos foram transformados em consumidores e fãs
Acontece que todo esse sucesso recente representou um grande alvo nas costas de Zoom, e as pessoas estão se perdendo toda vez que um novo problema de segurança é descoberto na plataforma, por menor que seja. Por causa disso, eu queria dedicar um pouco do seu tempo - e do meu - para discutir a brecha relacionada ao Zoom
Mas, se você não tiver tempo para entrar, o resumo está abaixo.
Sim, o Zoom tem alguns problemas de segurança. É um software complexo. Todo software complexo possui bugs. Alguns desses erros são relevantes para a segurança. Os engenheiros, profissionais de marketing e liderança da Zoom não são burros nem maus. Você pode julgar o Zoom por sua resposta a problemas de segurança, mais do que pelos problemas de segurança, dentro do razoável.
Zoom e o vazamento de dados no Facebook
A fofoca: o Zoom vaza informações pessoais para o Facebook, mesmo que você não seja um usuário do Facebook.
A reportagem: Joe Cox, escrevendo para a Vice Motherboard, informou em 26 de março de 2020 que o aplicativo Zoom iOS envia dados para o Facebook, mesmo que você não tenha uma conta no Facebook . O artigo ilustra com precisão o que aconteceu com o uso do SDK pelo kit de desenvolvimento de software do Facebook nas plataformas Apple que executam iOS (ou seja, iPhones e iPads), e parece que Joe é o pesquisador original que primeiro relatou o problema ao Zoom.
O que aconteceu desde então: O Zoom retirou o SDK do Facebook de seu aplicativo iOS para plataformas Apple, removendo o recurso "Login with Facebook".
as informações pessoais vazadas eram diagnósticos básicos sobre telefones e tablets - coisas como tamanho da tela e espaço de armazenamento, além de alguns dados de localização aproximados. Importante, não eram coisas como nomes de usuário, senhas, números de telefone ou pepitas de informações de conversas. A placa-mãe também relata que o Facebook estava, por sua vez, definindo um ID exclusivo de cookie para os usuários, presumivelmente para publicidade.
Para mim, isso parece uma história de sucesso, na maior parte. O pesquisador Joe Cox encontrou uma vulnerabilidade de vazamento de informações, informou e foi corrigida em uma semana.
No final, isso ilustra um dos segredos sujos do rápido desenvolvimento de aplicativos: nem todos os desenvolvedores estão cientes das implicações do uso do SDK de outra pessoa. Parece que tudo que os desenvolvedores do Zoom queriam era a capacidade de usar o SSO do Facebook, mas o que eles conseguiram foi isso, além do rastreamento e compartilhamento (comuns para desenvolvedores de aplicativos do Facebook).
Zoom e criptografia de ponta a ponta
A fofoca: as videoconferências e chamadas com zoom são vulneráveis à escuta.
O relatório: Micah Lee e Yael Grauer, escrevendo para o The Intercept, relataram em 31 de março de 2020 que as reuniões Zoom não são criptografadas de ponta a ponta, apesar do marketing enganador . O artigo explora e explica o que é a criptografia de ponta a ponta (E2E) e por que é importante, e destaca algumas das afirmações que o Zoom faz em seu site sobre o uso da criptografia de ponta a ponta para videoconferência.
O que aconteceu desde então: passaram dois dias desde que o The Intercept publicou suas descobertas (presumivelmente descobertas de forma independente) e, quando pediram comentários ao Zoom, receberam uma resposta do estilo "levamos sua segurança muito a sério".
Deixe-me explicar ... não, é demais. Deixe-me resumir : o zoom não aplica a criptografia E2E nas videoconferências, apesar das alegações da empresa. No que diz respeito ao tribunal da lei de criptografia, isso é muito ruim. Tipo, imperdoavelmente ruim. Mas, de fato, para a maioria das pessoas, provavelmente está tudo bem, embora haja obviamente exceções em que as pessoas realmente precisam do E2E real.
O que o Zoom está fornecendo é como uma forma qualificada de criptografia na chamada (e é por isso que eles estão chamando de ponta a ponta), na qual o Zoom ainda tem a capacidade de descriptografar. Como Yael e Micah explicam, longamente e com corroboração, o E2E real é muito diferente dessa abordagem no que diz respeito à confiança e segurança. Com o E2E, ninguém fora das partes da videoconferência seria capaz de revelar o conteúdo da chamada. Com a segurança da camada de transporte (TLS), esse poder é com qualquer uma das partes e com a própria Zoom Video Communication, Inc., juntamente com qualquer pessoa que tenha comprometido ou intimado com êxito o Zoom. Você vê o problema aqui?
Zoom e o Path UNC
A fofoca: O zoom pode expor suas senhas do Windows a outros usuários.
A reportagem: Lawrence Abrams, escrevendo para a Bleeping Computer, informou em 31 de março de 2020 que Zoom permite que atacantes roubem credenciais do Windows por meio de links UNC . O artigo parece ter sua origem em um tweet de @ _g0dmode de 23 de março, que afirma que as conversas com o Zoom mudam os caminhos UNC, comoexample.com, em links clicáveis em clientes Windows. Se alguém clicar nesse link, o nome de usuário do Windows e o hash de credencial NTLM (uma versão quebrável de uma senha) podem ser enviados pela Internet para o site fornecido pelo invasor. Um truque relacionado é apontar para o host local (o próprio computador do cliente) e executar os programas que já existem, depois de alguns avisos no estilo "Você tem certeza?" Do Windows. Lawrence tentou relatar esse problema à Zoom, presumivelmente entre 23 e 30 de março, mas não obteve resposta.
O que aconteceu desde: em 1º de abril, o Zoom anunciou uma correção para o problema de renderização do caminho UNC . Embora abordar esse bug seja a coisa certa a fazer, não estou convencido de que seja realmente uma vulnerabilidade de segurança da maneira como normalmente pensamos sobre vulnerabilidades de segurança.
Você não pode forçar alguém a revelar seu nome de usuário e hash de senha com o Zoom, tanto quanto sabemos hoje. Em vez disso, o invasor precisa fazer com que o usuário clique no link. Agora, isso pode não ser particularmente difícil com o tipo de isca padrão "Clique aqui por dinheiro grátis" e, de fato, exatamente isso acontece o tempo todo em campanhas de phishing por email. O vazamento de hashes de senha NTLM é um mecanismo favorito que os criminosos (e testadores de caneta!) Usam para coletar e quebrar esses hashes, mas o ataque exige que o bandido esteja na chamada de Zoom primeiro. Mas, até agora, não chamamos isso de vulnerabilidade em nenhum outro produto, portanto, isso não me parece um problema de zoom.
Zoom e a interface do sistema OSX
A fofoca : Zoom representa instruções do sistema para induzir os usuários a instalá-lo.
O relatório: Felix Steele, analista de malware, relatou no blog da VMRay em 1º de abril de 2020, Boas aplicações se comportando mal: dissecando a solução alternativa para o instalador do macOS da Zoom . O blog entra em detalhes técnicos sobre como o Zoom abusa do manuseio de scripts de pré-instalação pelo OSX em arquivos OSX flat pkg , expandindo seu tweet em 30 de março sobre o mesmo. Agora, "abuso" é uma palavra forte, mas, no final, os scripts de pré-instalação devem apenas verificar se o seu MacBook é legal o suficiente para lidar com o que estiver na sacola do pacote; eles não têm a intenção de realizar todo o trabalho pesado de instalação. Mas é exatamente isso que o pacote do Zoom faz.
Além disso, em alguns casos, o Zoom precisa de privilégios extras para executar suas tarefas - nesse caso, ele exibe um prompt de senha gerado pelo sistema (mas controlado por aplicativo). Normalmente, esse prompt diria algo chato e normal como "O zoom precisa da sua senha para atualizar o aplicativo existente", mas, neste caso, a caixa de diálogo é intitulada como "O sistema precisa do seu privilégio de mudar". Isso parece bastante sombrio e parece algo que você esperaria de malware e não de um aplicativo legítimo.
O que aconteceu desde então: o tweet de Felix decolou, registrando quase 2.000 curtidas até o momento da redação, o que é bastante surpreendente para alguém que (agora) tem menos de 1.500 seguidores. Uma dessas curtidas veio do CEO da Zoom, Eric Yuan, que respondeu agradecendo Felix pelo relatório. Até onde eu sei, esse tweet foi o primeiro relatório que o Zoom teve sobre essa preocupação e ainda não vi nenhum compromisso ou ação do Zoom para alterar qualquer comportamento aqui.
O que nos resta é o seguinte: O comportamento de aparência maliciosa define categoricamente o Zoom como malicioso? Acho que não, mas posso ver absolutamente o motivo da preocupação. Por exemplo, posso imaginar um cenário em que um invasor daria a alguém um link de reunião do Zoom, especificamente para fazer com que eles instalassem o cliente, para se virar e explorar alguma vulnerabilidade nesse cliente. Esse comportamento de instalação fornece ao invasor imaginário um precursor de ataque complicado, mas possível. Agora, não acho que o Zoom esteja usando essas técnicas para se instalar de forma agressiva e maliciosa em vítimas inocentes - mas para usá-las para instalar o cliente em máquinas pertencentes a pessoas que desejam o mínimo de cliques possível. Em outras palavras, é um truque inteligente do UX. Um truque de UX sombrio e com cheiro estranho, mas inteligente.
Além disso, uma pequena parte quase invisível de mim deseja que eu pense nisso primeiro.
Zoom e o escalonamento de privilégios locais
A fofoca : Os atacantes locais podem usar o Zoom para instalar malware.
O relatório: Zack Whittaker, escrevendo para o TechCrunch em 1 de abril de 2020, relatou que o ex-NSA hacker descarta nova desgraça de dia zero para o Zoom . Sei que os repórteres não costumam ter a palavra final nas manchetes, mas fumaça sagrada, esse título. Tirando a hipérbole, Zach cobre as descobertas de Patrick Wardle, especialista em segurança OSX, publicado pela primeira vez no blog de Patrick, Objective-See. Em resumo, essas são duas explorações de escalonamento de privilégios locais que tiram vantagem de algumas decisões de arquitetura de software tomadas pelo Zoom. O primeiro subverte a técnica de pré-instalador de malware obscuro acima mencionado para iniciar o que o invasor deseja como root (o melhor e mais poderoso tipo de acesso do usuário), enquanto o segundo usa a laxista validação de biblioteca local do Zoom para subverter as funções da biblioteca, a fim de obter permissões de microfone e webcam sem perguntar.
O TechCrunch entrou em contato com o Zoom entre 30 de março e 1º de abril, embora pareça que Patrick não tentou divulgá-lo em particular antes de publicar.
O que aconteceu desde então: após três ou quatro dezenas de horas de conhecimento dos bugs, o Zoom lançou uma atualização que aborda os dois problemas de Patrick , portanto verifique suas atualizações para buscá-las ou faça o que você costuma fazer e obtenha-as automaticamente.
Agora que eles já foram abordados, vamos falar um pouco sobre esse "destino do dia zero". Para explorá-los, você, o invasor, precisa ser capaz de gravar arquivos no MacBook local como usuário. Em outras palavras, o atacante está ligando de dentro da casa, e geralmente o atacante é você.
Embora isso possa parecer absurdo ou masoquista, é bastante normal para malware que você instalou acidentalmente e executou como você. Vou contar um pequeno segredo sobre a segurança do computador: "Se eu puder tocar no seu computador, é o meu computador". Não me lembro (e estranhamente não consigo encontrar) a fonte dessa citação, mas é a partir de 1999. De qualquer forma, a escalada de privilégios locais está lenta mas seguramente ficando mais difícil em computadores completos (e ainda mais difíceis em dispositivos móveis), mas, finalmente, esses ataques são quase impossíveis de se defender. É por isso que temos senhas locais e nos preocupamos bastante com a forma como o conteúdo executável é entregue ao usuário final.
Zoom, China e mais criptografia snafus
A fofoca: a China pode escutar chamadas de zoom, também a criptografia Zoom é uma merda.
A reportagem: Micah Lee, escrevendo para o The Intercept, relatou em 3 de abril de 2020 que a criptografia de Zoom é "não adequada para segredos" e tem vínculos surpreendentes com a China, descobrem os pesquisadores . A peça cobre uma revisão técnica aprofundada dos recursos de criptografia de Zoom, escritos por Bill Marczak e John Scott-Railton do respeitado Citizen Lab da Universidade de Toronto, disponível aqui. A pesquisa é essencialmente um mergulho profundo sobre exatamente como a criptografia Zoom funciona e, bem, foram cometidos erros. A maior descoberta técnica foi que o Zoom está usando uma forma de criptografia moderna chamada "Advanced Encryption Standard (AES) no modo Electronic Codebook (ECB)", que é basicamente o pior modo possível para algo como uma chamada de vídeo e faz a chave de criptografia mais fácil de adivinhar. Também houve uma reiteração de que o Zoom não suporta ou aplica a criptografia E2E.
A manchete do artigo The Intercept e a subsequente cobertura dos problemas concentram-se principalmente na ameaça de agências governamentais chinesas terem a capacidade de obrigar o Zoom a fornecer material essencial e, assim, descriptografar as conversas do Zoom. Acontece que alguns dos principais servidores usados para estabelecer a segurança de chamadas do Zoom estão localizados na China, e o Zoom emprega cerca de 700 pesquisadores e desenvolvedores de produtos chineses.
O que aconteceu desde então: Curiosamente, as conversas hoje não mencionam que a grande maioria dos servidores principais está localizada nos EUA, o que significa que todas essas chaves estão sujeitas a mandados e intimações da FISA do FBI e de outras agências americanas. O fato de uma empresa estar sujeita às leis nas jurisdições em que opera e deve obedecer às ordens legais de vigilância do governo não é novo ou exclusivo. Além disso, pesquisas anteriores já estabeleceram que a estratégia de criptografia do Zoom não é realmente de ponta a ponta, portanto, isso não é surpreendente. O zoom não é da Apple.
Mas voltando à criptografia ruim e malcriada. As reivindicações mais significativas são que as chaves são geradas e distribuídas de uma maneira estranha, as videoconferências são agrupadas no que parece ser um esquema de criptografia caseiro; as chaves são muito mais curtas do que o Zoom havia anunciado (128 bits, não 256- bit) eo modo BCE do AES não é adequado para o conteúdo de vídeo. Embora os pesquisadores não tenham demonstrado decifrar a criptografia ou extrair informações úteis de um fluxo de dados criptografados, suspeito que esse recurso esteja na caixa de ferramentas das organizações de inteligência mais avançadas do mundo.
Com isso em mente, há uma frase crucial no relatório do Citizen Labs:
"Para aqueles que usam o Zoom para manter contato com amigos, realizar eventos sociais ou organizar cursos ou palestras que eles possam realizar em um local público ou semi-público, nossas descobertas não devem ser necessariamente preocupantes".
Em outras palavras, o Zoom não é adequado para conversas que envolvam tópicos de apuramento extremamente secretos, preocupações altamente sensíveis à propriedade intelectual, denúncias perigosas contra um governo repressivo ou planejamento e execução de conspirações criminais . Se essas são suas atividades de trabalho remotas, o Zoom não é adequado para você.
Se você se sente confortável com ligações telefônicas normais, reuniões públicas ou videochamadas casuais em praticamente qualquer outra plataforma, o Zoom é quase certamente bom o suficiente. Você não é tão interessante para os chineses, americanos ou qualquer outra pessoa.
Para ser absolutamente claro: devemos e devemos exigir uma melhor criptografia e transparência do Zoom. Nos próximos 89 dias, espero que um trabalho significativo seja feito aqui. Existem algumas vitórias técnicas relativamente fáceis na implementação de criptografia das quais o Zoom agora está ciente, portanto, espere outra rodada de atualizações do Zoom em breve.
Zoom e o Futuro
Você notará que existe um tema comum entre todos esses relatórios de vulnerabilidade: O tempo entre relatórios privados e divulgação pública é medido em dias e horas, e nenhum desses prazos é superior a uma semana. Isso não é normal na divulgação de vulnerabilidades, e estou preocupado em estabelecer essa norma. Praticamente todos os que estão em torno do bloco de divulgação de vulnerabilidades concordam que algum tempo de execução privado na divulgação de vulnerabilidades é valioso, do CERT / CC ao ZDI e ao Project Zero . Não se trata de mimar fornecedores super sensíveis, mas sim de reduzir danos aos usuários finais.
Matéria retirada do blog Rapid7
