Zoom, el servicio de videoconferencia que ha explotado en el vacío creado por el brote de COVID-19, ha soportado la revelación de una serie de fallas de privacidad y seguridad en los últimos días. Ahora, los investigadores han identificado tal defecto en una función comercializada específicamente como una forma de hacer que las reuniones sean más seguras.

Zoom dijo el miércoles que había solucionado una vulnerabilidad con su función de sala de espera.

La función permite a los organizadores de la reunión mantener a los posibles participantes en una cola digital pendiente de aprobación. Los profesionales médicos podrían usarlo para realizar múltiples citas de telesalud seguidas, y los gerentes de contratación podrían realizar entrevistas en video apiladas, sugirió la compañía en una publicación de blog de febrero.

Dado que los usuarios han encontrado problemas con "zoombombing", en el que los participantes interrumpen y descarrilan las reuniones, a menudo mediante el uso de imágenes ofensivas o insultos racistas, la empresa ha señalado la función de sala de espera como una forma de protegerse de este tipo de intrusión.

Pero los investigadores de seguridad que examinaron el cliente de escritorio en busca de vulnerabilidades encontraron que los servidores de Zoom enviarían automáticamente datos de video en vivo a los usuarios en la sala de espera de la reunión. incluso si aún no habían sido aprobados para unirse por la persona que celebraba la reunión. A estos usuarios también se les envió la clave de descifrado de la reunión, el código necesario para desbloquear comunicaciones seguras. Los usuarios podrían extraer hipotéticamente la transmisión de video en vivo, dijeron los investigadores.

"Si fueras moderadamente sofisticado desde el punto de vista técnico, podías ver lo que estaba pasando mientras estaba en la sala de espera, "dijo Bill Marczak, un becario del Citizen Lab y un investigador postdoctoral en UC Berkeley que encontró la vulnerabilidad. Un flujo de audio de la llamada sin embargo, no era accesible.

Marczak dijo que él y John Scott-Railton del Citizen Lab notificaron a Zoom la semana pasada. Detallaron sus hallazgos en un informe publicado el miércoles, después de recibir un correo electrónico de la empresa que dice que el problema se ha solucionado.

El miércoles, El director ejecutivo de Zoom, Eric Yuan, mencionó durante un seminario web realizado para abordar las preocupaciones de privacidad que Zoom había solucionado un problema con su función de sala de espera.

"Actualizamos nuestro servidor. Nuestra vulnerabilidad en la sala de espera ya está solucionada, ", Dijo Yuan en el seminario web." Desde el lado del servidor, no enviamos datos de audio y video al cliente de la sala de espera. Sin embargo, enviamos la clave de sesión ... No pensamos que fuera seguro así que cambiamos nuestro servidor ".

El comentario de Yuan no se alineó con lo que encontraron Marczak y Scott-Railton, ellos escribieron. Anteriormente, se podía acceder a la transmisión de video, aunque el problema se ha solucionado desde entonces, Dijo Marczak.

Zoom no respondió de inmediato a una solicitud de comentarios sobre esta discrepancia.

© 2020 Los Angeles Times
Distribuido por Tribune Content Agency, LLC.