Zoom anunció una nueva actualización de seguridad para evitar o reducir las chances de la intromisión indeseada de personas en los encuentros virtuales, una práctica que se conoce como “zoombombing”.
Se han reportado varios de estos incidentes intempestivos, donde los usuarios no invitados buscan interrumpir el encuentro virtual compartiendo videos de otras temáticas, gritando o insultando a los participantes. Para evitar estos incidentes, la compañía anunció que modificó la configuración para fortalecer la seguridad.
Existen diferentes formas de acceder a las reuniones virtuales, una de ellas es a través de los identificadores de reuniones personales (PMI) que direccionan a las salas reservadas para ese propósito.
Se puede acceder a los PMI utilizando el mismo indicador o enlace de reunión, con lo cual cualquiera puede unirse a la llamada a no ser que estén protegidas correctamente. De ahí que la plataforma ahora permitirá que los usuarios desactiven los indicadores PMI y pasará a requerir siempre contraseñas para el acceso a las llamadas, e invalidará los enlaces e identificadores anteriores.
“Con esta última versión, los propietarios y administradores de cuentas de Zoom ahora pueden desactivar el uso de un PMI para programar o comenzar una reunión instantánea”, anunció la empresa en su blog.
Con los PMI deshabilitados, el usuario no tendrá una ID de reunión o un enlace personal exclusivo para su cuenta de Zoom, pero aún tendrá acceso a reuniones privadas y seguras utilizando un ID de reunión generada aleatoriamente.
A su vez, las llamadas por PMI tendrán activada la sala de espera y los privilegios de acceso a la función de compartir pantalla estarán habilitados por default, tan solo para los anfitriones de la reunión. Estos cambios comenzarán a estar operativos a partir del sábado 9 de mayo para todos los usuarios, aunque podrán ser modificados, por los administradores, desde el menú de ajustes de la plataforma.
Por otra parte, Zoom informó hoy que adquirirá la firma Keybase con el objetivo de mejorar la seguridad de sus videoconferencias. La plataforma viene trabajando hace unas semanas para optimizar la seguridad para los usuarios después de experimentar algunas fallas de privacidad ahora que las reuniones virtuales se volvieron más populares tras la pandemia de coronavirus.
Keybase es un servicio seguro de mensajería y uso compartido de archivos. La adquisición de esta compañía ayudará a desarrollar un servicio de encriptación de extremo a extremo para optimizar el servicio. Zoom indicó que publicará los detalles del diseño de la encriptación el 22 de mayo.
En la actualidad, los datos se cifran entre el usuario y los servidores de Zoom. No se ofrece, por el momento, cifrado de extremo a extremo que generalmente se refiere a proteger el contenido entre los usuarios sin ningún tipo acceso de la empresa, tal como lo hacen Signal o WhatsApp.
Otras fallas
Hace unas semanas, se identificaron agujeros de seguridad vinculados a macOS. En este sentido, se halló una vulnerabilidad de día cero en la cual se especifica que Zoom utiliza una técnica “sombría” para instalar la aplicación de Mac sin interacción del usuario. Un atacante local con privilegios de usuario de bajo nivel podría inyectar al instalador de Zoom código malicioso para obtener el nivel más alto de privilegios de usuario, es decir para ser usuario root.
También se halló una falla en Windows que le permitiría a un atacante robar las credenciales de acceso de los usuarios que hacen clic en un enlace para unirse a una reunión. Para evitar este tipo de ataques, los investigadores de seguridad recomendaron, en su oportunidad, establecer en la configuración de Windows la restricción del tráfico NTLM a servidores remotos.