Expertos en ciberseguridad reportan el hallazgo de una falla en la función “Compartir Pantalla” de la aplicación de videoconferencia Zoom que podría permitir la filtración confidencial a otros participantes en la sesión. Identificada como CVE-2021-28133, esta falla no cuenta con parches de seguridad y su explotación permitiría revelar brevemente el contenido de las aplicaciones no compartidas.
Cabe mencionar que la función de Zoom vulnerable permite a los usuarios compartir una pantalla completa en sus equipos de escritorio o smartphones, o limitar el uso compartido a una o más aplicaciones o ventanas específicas, o bien a una parte de una pantalla. El problema se debe al hecho de que una segunda aplicación superpuesta sobre una aplicación ya compartida puede revelar su contenido durante un breve período de tiempo.
Michael Strametz, especialista en ciberseguridad, menciona: “Cuando un usuario de Zoom comparte una ventana específica a través de la función mencionada, otros participantes de la videollamada pueden ver de forma muy breve el contenido de otras aplicaciones que el usuario no ha decidido compartir.” El experto agrega que el contenido de las ventanas puede ser vsto por otros usuarios, infringiendo las condiciones de privacidad en la plataforma de videollamada.
La falla fue analizada en las versiones 5.4.3 y 5.5.4 de Zoom, en los clientes de Windows y Linux. Las fallas fueron reportadas a la compañía a finales de 2020 y hasta el momento siguen sin ser corregidas, lo que el investigador atribuye a la reducida posibilidad de explotación.
Sin embargo, este escenario podría tener serias consecuencias, tomando en cuenta que un actor de amenazas podía ingresar a una sesión de videollamada y grabar de forma inadvertida la sesión.
Cuando se les cuestionó la ausencia de parches de seguridad, un portavoz de Zoom dijo que está trabajando para abordar el problema. “Zoom se toma muy en serio todos los informes de vulnerabilidades de seguridad”, dijo la compañía a The Hacker News por correo electrónico. “Somos conscientes de este problema y estamos trabajando para resolverlo”. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad