Se descubren más vulnerabilidades en Zoom

La empresa se comprometió a repararlas en 90 días

La app Zoom sigue  siendo noticia y no precisamente por buenos motivos. A pesar de que ya no comparte datos con Facebook, y se ha comprometido a cifrar las llamadas E2E, ahora se sabe que tiene dos vulnerabilidades adicionales.

Según reporta The Verge, un grupo de profesionales en seguridad pudieron realizar ataques usando fuerza “bruta” para acceder a información sensible de casi 2400 reuniones en un solo día.

Una herramienta automática desarrollada por ellos encontró la identidad de 100 miembros en una hora y datos de 2,400 reuniones en un dia, por medio de scans.Entre esos datos están enlace de la reunión, fecha, hora, organizador y tema.

Queda claro que el uso o no uso de contraseñas por parte de algunos participantes no está siendo efectiva, en algunas circunstancias, ya que las cuentas de usuarios no afiliados con acceso por medio del administrador o dueño de la misma, no requieren del uso de contraseñas, lo que vulnera el acceso de la plataforma.

Datos adicionales reportan que el nivel de cifrado usando por zoom es inferior a lo que reporta en su página (llaves AES de 256 bits), cuando esta es de 128 bits. Y lo peor es que usa ECB, el cual es considerado la peor opción de los modos de AES.

Otro dato preocupante es el acceso usando llaves ubicadas desde servidores en China, a pesar de que los usuarios no son de esos países. Por lo tanto debe dar a conocer el motivo de esto. Por lo tanto no es una opción para reuniones de temas delicados.

Con información de The Verge y the Intercept