Implicaciones de seguridad y privacidad de Zoom

Título original: «Security and Privacy Implications of Zoom»
Publicado el 3 de abril de 2020
Fuente: https://www.schneier.com/blog/archives/2020/04/security_and_pr_1.html

[03/04/2020] Durante las últimas semanas, el uso de Zoom se ha disparado desde que se convirtió en la plataforma de videoconferencia preferida en el mundo que actualmente vivimos gracias a la COVID-19. (La universidad para la que trabajo, Harvard, la utiliza en todas sus clases. Las reuniones de gabinete de Boris Johnson se realizaban a través de Zoom.) Durante ese mismo período, se descubrió que la compañía tenía una privacidad y una seguridad pésimas. Mi objetivo aquí es resumir todos los problemas, hablar de soluciones y alternativas.

En general, los problemas de Zoom se dividen en tres grandes grupos: (1) malas prácticas de privacidad, (2) malas prácticas de seguridad, y (3) malas configuraciones de usuario.

Primero, hablemos de la privacidad. Zoom espía a sus usuarios para beneficio personal. Parece que este asunto se ha aclarado un poco desde que todo el mundo empezó a prestar atención. Aún así, lo siguen haciendo.

La compañía recopila una lista de datos sobre sus usuarios, entre los que se incluyen el nombre de usuario, la dirección física, la dirección de correo electrónico, el número de teléfono, la información sobre el trabajo, la información sobre el perfil de Facebook, las especificaciones del ordenador o del teléfono, la dirección IP y cualquier otra información que cree o cargue. Y utiliza todos estos datos de seguimiento con fines de lucro, en contra de los intereses de sus usuarios.

El mes pasado, la política de privacidad de Zoom contenía lo siguiente:

«¿Zoom vende datos personales? Depende de lo que entiendas por «vender». «No permitimos que las compañías de marketing, los anunciantes ni ninguna otra compañía similar accedan a los Datos personales a cambio de un pago. Salvo lo descrito anteriormente, no permitimos que terceros accedan a los datos personales que recogemos en el curso de la prestación de servicios a los usuarios. No permitimos que terceros utilicen los Datos Personales que obtengan a través de nosotros para sus propios fines, a menos que sea con su consentimiento (por ejemplo, cuando descargue una aplicación desde el Marketplace de aplicaciones. Así que, en nuestra humilde opinión, no consideramos que la mayoría de nuestros usuarios piensen que somos vendedores de su información, como se entiende comúnmente esa práctica».

Ese párrafo («depende de lo que entiendas por “vender”», «...la mayoría de nuestros usuarios piensen que somos vendedores [...]», «...como se entiende comúnmente esa práctica [...]») fue redactado cuidadosamente por los abogados para permitirles hacer prácticamente lo que quieran con su información mientras fingen lo contrario. ¿Alguien que haya «descargado una aplicación del Marketplace de aplicaciones» recuerda haber dado su consentimiento para que cedan sus datos personales a terceros? Yo no.

Doc Searls ha trabajado en este tema y ha escrito sobre el sorprendente número de rastreadores de terceros en el sitio web de Zoom y sus malas prácticas en lo que se refiere a la privacidad en general.

El 29 de marzo, Zoom reescribió su política de privacidad:

«No vendemos sus datos personales. Tanto si es una empresa, una escuela como un usuario individual, no vendemos sus datos [...]. No utilizamos los datos que obtenemos de su uso de nuestros servicios, incluidas sus reuniones, para ningún fin publicitario. Usamos los datos que obtenemos de usted cuando visita nuestros sitios web de marketing, como zoom.us y zoom.com. Usted tiene control sobre su propia configuración de cookies cuando visita nuestros sitios web de marketing».

Hay mucho más. Es mejor que la anterior pero, aún así, Zoom todavía recopila una gran cantidad de datos de sus usuarios. Además, hay que señalar que considera sus páginas de inicio como «sitios web de marketing», lo que significa que sigue utilizando rastreadores de terceros y publicidad basada en el seguimiento. (En serio, Zoom, deja de hacerlo).

Pasemos a la seguridad. La seguridad de Zoom es, en el mejor de los casos, negligente, y en el peor, maliciosa. La revista Motherboard informó que la aplicación de Zoom para iPhone enviaba datos de usuario a Facebook, incluso si el usuario no tenía una cuenta en Facebook. Zoom eliminó esa función, pero su respuesta debería preocuparte por sus descuidadas prácticas de programación en general:

«Al principio implementamos la función "Login with Facebook" a través del SDK de Facebook para proporcionar a nuestros usuarios otra forma conveniente de acceder a nuestra plataforma. Sin embargo, hace poco nos enteramos de que el SDK de Facebook estaba recopilando datos de dispositivos innecesarios», explicó Zoom a Motherboard en un comunicado el viernes pasado.

Esta no es la primera vez que Zoom descuida la seguridad. El año pasado, un investigador descubrió que una vulnerabilidad en el cliente de Zoom para Mac permitió a cualquier sitio web malicioso habilitar la cámara sin permiso. El hecho de que Zoom diseñara su servicio para eludir los ajustes de seguridad del navegador y habilitar remotamente la cámara web de un usuario sin su conocimiento o consentimiento parecía una elección de diseño deliberada. (EPIC presentó una queja a la FTC al respecto). Zoom parcheó esta vulnerabilidad el año pasado.

El 1 de abril aprendimos que se puede utilizar Zoom para Windows con el fin de robar las credenciales de los usuarios de estos sistemas.Los ataques actúan por medio de la ventana de chat de Zoom para enviar a los objetivos una cadena de texto que representa la ubicación de la red en el dispositivo de Windows que están utilizando. La aplicación Zoom para Windows convierte automáticamente estas cadenas
denominadas convención de nombres universal como Nattacker.example.com/C$ en los enlaces a los que se puede acceder. Si los objetivos hacen clic en los enlaces de las redes que no están totalmente bloqueadas, Zoom enviará los nombres de usuario de Windows y los correspondientes hashes NTLM a la dirección que figura en el enlace.

El día 2 de abril descubrimos que Zoom mostraba, en secreto, datos de perfiles de LinkedIn, lo que permitía a los usuarios que participaban en las reuniones husmear a los demás. (Zoom lo ha arreglado). Estoy seguro de que se producirán muchas más de estas malas decisiones de seguridad, errores de programación negligentes y vulnerabilidades de software aleatorias.

Pero esto solo va a peor. La encriptación de Zoom es pésima. En primer lugar, la compañía afirma que ofrece encriptación de extremo a extremo, pero no es así. Únicamente proporciona encriptación de enlace, lo que significa que todo está desencriptado en los servidores de la compañía.

Según The Intercept:

«En la documentación técnica de Zoom, figura una lista de «funciones de seguridad previas a la reunion» que están a disposición del anfitrión de la reunión y que comienza con «Habilitar una reunión cifrada de extremo a extremo (E2E)».

En el mismo documento aparece «Protege una reunión con encriptación E2E» como una «función de seguridad durante la reunión» que está disponible para los anfitriones de la misma. Cuando un anfitrión inicia una reunión con la opción «Requisitos de cifrado para puntos finales de terceros» activada, los participantes ven un candado verde que dice «Zoom está utilizando una conexión cifrada de extremo a extremo» cuando pasan el ratón por encima de ella.

Pero, cuando se le pidió que comentara si las videoconferencias están realmente cifradas de extremo a extremo, un representante de Zoom señaló: «Actualmente, no es posible habilitar el cifrado E2E para las videoconferencias de Zoom. Las videoconferencias con Zoom utilizan una combinación de protocolos TCP y UDP. Las conexiones TCP se establecen mediante TLS y las conexiones UDP se encriptan con AES mediante una clave negociada sobre una conexión TLS».

También están mintiendo sobre el tipo de encriptación que utilizan.

El día 3 de abril, Citizen Lab anunció lo siguiente:

«La documentación de Zoom establece que, de ser posible, la aplicación utiliza la encriptación «AES-256» durante las reuniones. Sin embargo, descubrimos que, en cada reunión de Zoom, todos los participantes utilizan una única clave AES-128 en modo ECB para cifrar y descifrar tanto el audio como el vídeo. No se recomienda el uso del modo ECB porque los patrones presentes en el texto plano se conservan durante la codificación.

Al parecer, las claves AES-128, las cuales hemos podido comprobar que son suficientes para descifrar los paquetes de Zoom interceptados en el tráfico de Internet, son generadas por los servidores de Zoom y, en algunos casos, se envían a los participantes de una reunión de Zoom a través de servidores en China, incluso cuando todos los participantes de la reunión, y la empresa del suscriptor de Zoom, están fuera de China».

Estoy de acuerdo con utilizar AES-128, pero el uso del modo ECB (libro de códigos electrónicos) indica que no hay nadie en la empresa que tenga nociones sobre criptografía.

Y esa conexión con China es preocupante. De nuevo, según Citizen Lab:

Zoom, una empresa situada en Silicon Valley, parece ser la propietaria de tres empresas en China a través de las cuales se paga a, aproximadamente, 700 empleados para que desarrollen el software de Zoom. Este acuerdo es ostensiblemente un caso de arbitraje laboral: Zoom evita pagar salarios estadounidenses mientras ofrece sus servicios a clientes de EE. UU., con lo que aumenta su margen de beneficios. Sin embargo, este acuerdo puede hacer que Zoom responda a la presión de las autoridades chinas.

O de los programadores chinos que se cuelan en el código bajo petición del gobierno.

Por último, la mala configuración de los usuarios. Zoom tiene muchas opciones. Los valores por defecto no son muy buenos y, si no configuras bien tus reuniones, te expones a todo tipo de problemas.

Y esa conexión con China es preocupante. De nuevo, según Citizen Lab:

«Zoom, una empresa situada en Silicon Valley, parece ser la propietaria de tres empresas en China a través de las cuales se paga a, aproximadamente, 700 empleados para que desarrollen el software de Zoom. Este acuerdo es ostensiblemente un caso de arbitraje laboral: Zoom evita pagar salarios estadounidenses mientras ofrece sus servicios a clientes de EE. UU., con lo que aumenta su margen de beneficios. Sin embargo, este acuerdo puede hacer que Zoom responda a la presión de las autoridades chinas».

O de los programadores chinos que se cuelan en el código bajo petición del gobierno.

Por último, la mala configuración de los usuarios. Zoom tiene muchas opciones. Los valores por defecto no son muy buenos, y si no configuras bien tus reuniones, te expones a todo tipo de problemas.

El «zoombombing» es el problema más visible. Los usuarios pueden encontrar reuniones, clases y eventos de Zoom abiertos, se pueden unir a ellos y compartir sus pantallas para difundir contenido ofensivo a todo el mundo (principalmente pornografía). Es algo horrible si eres la víctima, pero es una de las consecuencias que tiene compartir la pantalla con cualquier participante.

Incluso sin compartir la pantalla, la gente se conecta a reuniones de Zoom al azar y las interrumpe. Aparentemente Zoom no hizo el número de identificación de la reunión lo suficiente largo como para prevenir que alguien probase números al azar en busca de reuniones. Esto no es nuevo. Checkpoint Research informó de este hecho el verano pasado. En lugar de hacer los números de identificación de las reuniones más largos o más complicados, algo que Zoom debería haber hecho, habilitó las contraseñas de las reuniones de forma predeterminada. Por supuesto que la mayoría de nosotros no usamos contraseñas, pero ahora hay herramientas automáticas para encontrar reuniones de Zoom.

Para ayudarte a proteger tus sesiones, Zoom dispone de una guía.

En resumen, no compartas el ID de la reunión más de lo necesario, utiliza una contraseña junto con el ID de la reunión, utiliza la sala de espera si puedes, y presta atención a los permisos que tiene cada participante.

Eso es lo que sabemos sobre la privacidad y seguridad de Zoom hasta ahora. Se esperan más novedades durante las próximas semanas y meses. La nueva fiscal general de Nueva York está investigando la compañía. Los investigadores de seguridad están revisando el software en busca de otras cosas que Zoom está haciendo y que no le ha contado a nadie. Hay más historias esperando a ser descubiertas.

El Zoom es un desastre desde el punto de vista de la seguridad y la privacidad pero, hasta ahora, había logrado evitar la responsabilidad pública porque era relativamente poco conocida. Ahora que está en el punto de mira, todo está saliendo a la luz. (Su respuesta a la publicación del 1 de abril se encuentra disponible aquí).

El día 2 de abril, la compañía comunicó que bloquearía el desarrollo de todas las funcionalidades y se centraría en la seguridad y la privacidad. Veamos si eso es algo más que una estrategia de marketing.

Mientras tanto, deberías proteger Zoom lo mejor que puedas o, mejor aún, abandonar la plataforma. Jitsi , por el contrario, es una alternativa distribuida, gratuita y de código abierto. Comienza tu reunión aquí.

EDITADO: comentarios de Fight for the Future al respecto.

Comentarios de Steve Bellovin.

Mientras tanto, muchas grabaciones en vídeo de Zoom están disponibles en internet. El artículo no tiene ningún detalle útil sobre cómo llegaron ahí:

Los vídeos visualizados por The Post incluían sesiones de terapia individual, sesiones de formación orientativa para trabajadores que realizaban llamadas telefónicas de atención sanitaria (en las que se incluían los nombres y números de teléfono de las personas), reuniones de pequeñas empresas, en las que se incluían los estados financieros de empresas privadas, y clases en escuelas primarias, en las que se exponían los rostros, las voces y los detalles personales de los niños.

Muchos de los vídeos incluyen información que permite la identificación personal y conversaciones profundamente íntimas, grabadas en los hogares de las personas. Otros videos incluyen desnudos, como uno en el que una esteticista enseña a los estudiantes cómo hacerse la depilación brasileña con cera.

[...]

Muchos de los vídeos se pueden encontrar en espacios de almacenamiento desprotegidos de Amazon, conocidos como «buckets», que se utilizan de forma generalizada en la web. Los buckets de Amazon están bloqueados por defecto, pero muchos usuarios hacen que el espacio de almacenamiento sea accesible al público, ya sea por descuido o para compartir archivos con otras personas.

EDICIÓN 4 de 4: la ciudad de Nueva York ha prohibido el uso de Zoom en sus colegios.

Published

Share the joy

Recent Posts

Categories

Archives

Contact

Telephone

Office Hours

Address

E-mail