Hackers graban sesiones de Zoom sin permiso de los usuarios; ¿cómo lo hacen?

Hace algunos días, múltiples compañías tecnológicas, como Google, SpaceX, e inclusive la NASA prohibieron a sus empleados el uso de Zoom como herramienta para el trabajo a distancia debido a los múltiples reportes sobre algunos inconvenientes de seguridad en la plataforma, mencionan especialistas en análisis de vulnerabilidades.   

Uno de los ataques más comunes es el “ZoomBombing”, que consiste en interrumpir una sesión objetivo para transmitir contenido inadecuado. No obstante, la comunidad de la ciberseguridad teme que esto sea un precedente de ataques más sofisticados, como ejecución de malware y explotación de vulnerabilidades día cero que podrían comprometer todos los recursos informáticos de un usuario de Zoom.

Un grupo de especialistas en análisis de vulnerabilidades de la firma Morphisec Labs ha detectado una vulnerabilidad en Zoom que podría permitir a un hacker malicioso grabar una sesión de videoconferencia y extraer mensajes de texto sin consentimiento de los participantes. Además, esto puede ser realizado aunque el host haya inhabilitado la función para grabar la sesión.

Todo inicia con un malware inyectado en un proceso de Zoom, lo que no requiere interacción del usuario. Cabe mencionar que los participantes de la sesión no son notificados sobre esta conducta, por lo que todo el proceso puede pasar completamente desapercibido. Finalmente, el hacker logra grabar la sesión de Zoom. Los expertos en análisis de vulnerabilidades consideran altamente probable que se presente una campaña de explotación de este ataque, especialmente después de que se revelara la filtración de más de 500 mil credenciales de acceso de Zoom disponibles en dark web.

La compañía ya ha sido alertada sobre este problema de seguridad. Los investigadores también prepararon la descripción de un escenario de ataque:

  • El usuario A envía una invitación de Zoom al usuario B
  • El usuario B acepta la invitación y se une a la sesión de Zoom con el usuario A
  • El usuario A envía un chat que ilustra que los mensajes pueden ser enviados y recibidos, y ahora el usuario B puede responder
  • El usuario B le pide al usuario A acceso para grabar la sesión. El usuario A niega esta solicitud inhabilitando los privilegios de grabación para los asistentes, ya que está a punto de compartir información confidencial
  • En este punto, el usuario B lanza el código malicioso para grabar la sesión sin consentimiento del usuario A. En su pantalla, el usuario B puede ver que la sesión se está grabando, aunque el usuario A no esté al tanto de esta conducta
  • Cuando la sesión termina, el malware presente en Zoom manipula la grabación para ser enviada al usuario atacante

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.