• INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG
HUMEDAL INFORMATIK·ZERBITZU TEKNIKOA
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG

Un fallo de seguridad en Zoom permite descifrar la contraseña de tu videollamada en minutos

7/30/2020

 
Imagen
Un analista descubrió un nuevo fallo de seguridad en Zoom que permite a un atacante descifrar la contraseña de tu videollamada en minutos.
Los problemas de seguridad de Zoom parecen estar lejos de terminar. Tom Anthony, analista de seguridad, descubrió un modo de acceder a las reuniones privadas protegidas por contraseña. Tras intentar acceder a una videollamada del Gobierno de Reino Unido, Anthony descubrió un fallo en el cliente web que no cuantifica el número de intentos fallidos al introducir la clave.

Por medio de una entrada en su blog, el analista menciona que el problema suele estar en la contraseña de seis dígitos que asigna Zoom por defecto para proteger las reuniones. Esto significa que existe 1 millón de contraseñas máximas, que al combinarse con la vulnerabilidad del cliente web de Zoom permite que un atacante pueda descifrar la clave en minutos.

Tom Anthony tomó como punto de partida una reunión que sostuvo Boris Johnson, Primer Ministro de Reino Unido, con su gabinete. Al tomar el id de la llamada — visible en una captura de pantalla publicada por Johnson — intentó unirse a la videollamada.

Un atacante podría descifrar la contraseña de tu videollamada en minutos
Imagen
En el proceso descubrió varios detalles, como el número predeterminado de caracteres en una contraseña y que no existe una limitante de velocidad en intentos fallidos al usarla. Esto último resulta en un problema, puesto que un atacante puede iterar hasta conseguir el password y entrar a la reunión.

Pese a que no hay límite en los intentos repetidos, la velocidad está limitada por la rapidez con la que se pueden hacer solicitudes HTTP. Por medio de un script en Phyton ejecutado desde su ordenador casero, Anthony obtuvo la contraseña en menos de 30 minutos, tiempo que puede reducirse considerablemente si se realiza con 4 o 5 servidores en la nube.

Un atacante podría acceder a reuniones programadas anticipando la contraseña, un proceso que el usuario podría demorar si cambia la clave antes de la llamada. Otro problema tiene que ver con las reuniones periódicas ya que usan la misma contraseña. Una vez que se descifra, no es necesario ejecutar el proceso nuevamente.

El fallo fue corregido por Zoom hace algunas semanas
El fallo de seguridad fue descubierto hace semanas por el analista de seguridad, quien comunicó a Zoom su hallazgo. La empresa procedió a desconectar el cliente web por unos días para resolver el exploit. De acuerdo con Anthony, los ingenieros de la empresa parecían preocupados por la seguridad de la plataforma y apreciaron su informe, aunque no recibió una recompensa por comunicarlo.

La seguridad de Zoom ha estado en el centro de la polémica desde hace meses. Tras la pandemia de la COVID-19, el uso de la plataforma se intensificó y salieron a la luz sus vulnerabilidades. Para resolver el problema la empresa contrató a Alex Stamos, ex director de seguridad de Facebook, quien se integró como asesor para corregir el rumbo.

La polémica más reciente involucró al cifrado de punto a punto, una característica que en un principio estaba destinada a suscriptores de pago. Tras las críticas del resto de usuarios, Zoom tuvo que dar marcha atrás y anunciar la implementación en todas las videollamadas en algún momento de 2020.


Los comentarios están cerrados.

    Autor

    HUMEDAL INFORMATIK
    zerbitzu teknikoa
    servicios informàticos

    Imagen

    Archivos

    Diciembre 2020
    Noviembre 2020
    Octubre 2020
    Septiembre 2020
    Agosto 2020
    Julio 2020
    Junio 2020
    Mayo 2020
    Abril 2020
    Marzo 2020
    Febrero 2020
    Enero 2020
    Diciembre 2019
    Noviembre 2019
    Octubre 2019
    Septiembre 2019
    Agosto 2019
    Julio 2019
    Junio 2019
    Mayo 2019
    Abril 2019
    Noviembre 2018
    Octubre 2018
    Agosto 2018
    Julio 2018
    Mayo 2018
    Abril 2018
    Marzo 2018
    Febrero 2018
    Enero 2018
    Diciembre 2017
    Noviembre 2017
    Octubre 2017
    Septiembre 2017
    Julio 2017
    Junio 2017
    Mayo 2017

    Categorías

    Todos
    Kuriositateak
    Mundo 3D
    Ordenagailuak
    Segurtasuna
    Software Libre
    Software-libre

    Fuente RSS

NON GAUDEN·DONDE ESTAMOS

humedalinformatik@gmail.com                               tlf: 945 770 617·688 844 108                   Bulevar de Salburua 5            Vitoria·Gasteiz        Euskal Herria
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG