lunes, 6 de abril de 2020

El cifrado de extremo a extremo en videoconferencia Zoom resultó ser una farsa




El soporte de cifrado de extremo a extremo anunciado por el servicio de videoconferencia de Zoom ha demostrado ser una estratagema de marketing y solo ser una completa farsa. De hecho, la información de control se transmitió utilizando el cifrado TLS convencional entre el cliente y el servidor (como cuando se usa HTTPS) y la transmisión transmitida a través de UDP con video y sonido se cifró utilizando el cifrado simétrico AES 256, cuya clave se transmitió como parte de la sesión TLS.

El cifrado de extremo a extremo implica cifrado y descifrado en el lado del cliente, de modo que el servidor ya recibe datos cifrados que solo el cliente puede descifrar. En el caso de Zoom, se utilizó el cifrado para el canal de comunicación y en el servidor los datos se procesaron de forma transparente y los empleados de Zoom pudieron obtener acceso a los datos transmitidos. Los representantes de Zoom explicaron que el cifrado de extremo a extremo significaba el cifrado del tráfico transmitido entre sus servidores.



Western Digital WD10EZEX Disco Duro Sata 3 para PC, 1 TB, 3.5" $ 998.00 MXN Buy
Además, se descubrió que Zoom había violado las leyes de California con respecto al procesamiento de datos confidenciales: la aplicación Zoom para iOS transmitía datos analíticos a Facebook, incluso si el usuario no usaba una cuenta de Facebook para conectarse a Zoom. 

Debido al cambio a trabajar en casa durante la pandemia de coronavirus del SARS-CoV-2, muchas compañías y agencias gubernamentales, incluido el gobierno del Reino Unido, han cambiado a reuniones usando Zoom. El cifrado de extremo a extremo se presentó como una de las características clave de Zoom, que contribuyó a la popularidad del servicio.

Por otra parte tambien se identificaron dos vulnerabilidades en el cliente Zoom para macOS. El primero permite que un atacante local sin privilegios obtenga privilegios de root en el sistema, y ​​el segundo permite el acceso a la cámara y al micrófono. 

Ademas se encontró otra vulnerabilidad en el cliente para Windows, que, al abrir un enlace enviado, descubre la contraseña hash del usuario (cuando hace clic en un enlace usando UNC, se intenta conectarse a un recurso SMB externo con parámetros de autenticación usando NTLM).

Share:

0 comentarios:

Publicar un comentario

Seguidores