Cada año se realiza el Pwn2Own, un concurso organizado por Zero Day Initiative para equipos y profesionales de ciberseguridad, quienes compiten por descubrir errores en software y servicios populares; con esa información, las firmas involucradas refuerzan sus barreras de protección. Entre los fallos que encontraron los hackers “blancos”, destacan las vulnerabilidades en Zoom.
Los investigadores de Computest demostraron que es posible hacer una cadena de ataque de tres errores sin ninguna forma de interacción del usuario, pero como Zoom aún no ha tenido tiempo de corregir el problema crítico de seguridad, los detalles técnicos específicos de la vulnerabilidad se mantienen en secreto.
Pero por medio de una animación, los expertos en seguridad digital demostraron cómo es posible manipular el equipo de una personas, pues abrieron el programa de calculadora de una máquina que ejecuta Zoom después de su exploit.
El mecanismo funcionó en las versiones de Zoom de Windows y Mac, pero aún no se ha probado en iOS o Android. La versión del navegador del software de videoconferencia no se ve afectada.
Sólo así se pueden actualizar
Por medio de un comunicado, Zoom agradeció a los investigadores de Computest y dijo que la compañía "trabaja para mitigar este problema". Para evitar un posible fallo, recomiendan que todos los usuarios sólo acepten solicitudes de contacto de personas que conocen y en las que confían.
Los proveedores tienen una ventana de 90 días, que es una práctica estándar en los programas de divulgación de vulnerabilidades, para resolver los problemas de seguridad encontrados.
¿Qué deben hacer los usuarios?
En realidad sólo necesitan esperar a que se emita un parche, pero si están preocupados, pueden usar la versión del navegador mientras tanto. En todo el mundo, esta plataforma de videollamadas pasó de unos 10 millones de participantes en reuniones diarias por diciembre del año 2019 a 300 millones en abril de 2021.
msb