Zoom reconoció que algunas de las videollamadas hechas en su plataforma fueron enrutadas por sus servidores en China, tal como reportó Citizen Lab de la Universidad de Toronto.
Los investigadores de Citizen Lab dijeron que algunas llamadas realizadas en América del Norte se enrutaron a través de China, al igual que las claves de cifrado utilizadas para proteger esas llamadas.
Cabe recordar que Zoom no ofrece cifrado de extremo a extremo en sus videollamadas, lo que cual implica que Zoom controla las claves de cifrado y, por lo tanto, puede acceder al contenido de las videollamadas que realizan sus usuarios.
En este sentido, hay que tener en cuenta que las autoridades chinas podrían exigirle a la compañía que entregue la clave de cifrado de sus servidores en China para realizar el descifrado del contenido de las llamadas.
Zoom que al empezar a registrar un un incremento de llamadas en su servicio (se estima que se realizan 200 millones de reuniones virtuales a diarios a través de la plataforma), aumentaron su infraestructura y servidores para soportar esta exigencia, y “por error” permitió que dos de sus centros de datos en China aceptaran el tráfico como respaldo en caso de una congestión de redes.
“Durante las operaciones, los clientes de Zoom intentan conectarse a una serie de centros de datos primarios en la región del usuario o en su cercanía, y si esos intentos de conexión múltiple fallan debido a la congestión de la red u otros problemas, los clientes llegarán a dos centros de datos secundarios de una lista de varios centros de datos secundarios como un posible puente de respaldo a la plataforma Zoom. En todos los casos, los clientes de Zoom reciben una lista de centros de datos apropiados para su región", explicó Eric Yuan, CEO de Zoom, en un comunicado publicado por TechCrunch. La compañía explicó que esto afectó solo a algunos usuarios pero no dio una cantidad precisa.
Citizen Lab criticó a la empresa por haber construir su propio esquema de cifrado. Ocurre que cuando la empresa genera su propio sistema de cifrado, éste no es sometido al mismo nivel escrutinio y revisión que los estándares de cifrado que se lleva décadas usando.
Vale recordar que se encontraron mútiples vulnerabilidades a Zoom que afectan la seguridad de los usuarios. En Windows, por ejemplo, se descubrió que Zoom le permitiría a un atacante robar las credenciales de acceso de los usuarios que hacen clic en un enlace para unirse a una reunión.
También se identificaron agujeros de seguridad vinculados a macOS. En este sentido, se halló una vulnerabilidad de día cero en la cual se especifica que Zoom utiliza una técnica “sombría” para instalar la aplicación de Mac sin interacción del usuario.
Un atacante local con privilegios de usuario de bajo nivel podría inyectar al instalador de Zoom código malicioso para obtener el nivel más alto de privilegios de usuario, es decir para ser usuario root.
Hay otro error también en la aplicación par MacOS, que explota una falla en cómo Zoom maneja la cámara web y el micrófono en MacOS. A raíz de esto, un atacante podría inyectar código malicioso en Zoom para engañarlo y obtener acceso a la cámara web y al micrófono sin autorización del usuario.
También se encontraron unas 15 mil videollamadas expuestas en la web. Este contenido tenía información privada, que incluía desde datos financieros hasta nombres, apellidos y números de teléfonos.
A raíz de los agujeros de seguridad que se fueron dando a conocer, alguna compañías comenzaron a pedirles a sus empleados que dejen de utilizar esta plataforma. Tal es el caos de Space X, dirigida por Elon Musk, que directamente prohibió el uso de este servicio a todos sus empleados. A su vez, la NASA y el FBI tomaron medidas similares, con el objetivo de proteger la seguridad de sus integrantes.
MÁS SOBRE ESTE TEMA: