1 abr. 2020

A pesar del marketing, Zoom no utiliza cifrado End-to-End

Zoom, el servicio de videoconferencia cuyo uso se ha disparado en medio de la pandemia de Covid-19, afirma implementar un cifrado de Extremo a Extremo (E2E), pero parece que está utilizando su propia definición del término, una que le permitiría acceder a video y audio sin cifrar de las reuniones.

El negocio está en auge para Zoom, atrayendo más atención sobre la compañía y sus prácticas de privacidad. Primero fue el envío de datos a Facebook y ahora una política de privacidad, más tarde actualizada, que parece brindarle a la compañía permiso para extraer mensajes y archivos compartidos durante las reuniones con el objetivo de crear anuncios orientados.

En el sitio web de Zoom dice "Siempre y cuando se asegure de que todos en una reunión de Zoom se conecten usando 'audio de computadora' en lugar de llamar por teléfono, la reunión está asegurada con cifrado de extremo a extremo". Pero a pesar de este marketing engañoso, el servicio en realidad no admite el cifrado E2E para contenido de video y audio, al menos como se entiende comúnmente el término.
En cambio, ofrece lo que generalmente se llama cifrado de transporte. El cifrado que Zoom usa para proteger las reuniones es TLS, la misma tecnología que usan los servidores web para proteger los sitios web HTTPS.

En el documento técnico de Zoom, hay una lista de "capacidades de seguridad previas a la reunión" que están disponibles para el organizador de la reunión que comienza con "Habilitar una reunión cifrada de extremo a extremo (E2E)". Más adelante en el documento técnico, enumera "Asegurar una reunión con cifrado E2E" como una "capacidad de seguridad en la reunión" que está disponible para los anfitriones de la reunión. Cuando un anfitrión inicia una reunión con la opción "Requerir cifrado para puntos finales de terceros" habilitada, los participantes ven un candado verde que dice: "Zoom está utilizando una conexión cifrada de extremo a extremo" cuando pasan el mouse sobre él.
Pero cuando se contactó para comentar si las videoconferencias están realmente cifradas de extremo a extremo, un portavoz de Zoom escribió: "Actualmente, no es posible habilitar el cifrado E2E para las videoconferencias de Zoom. Las reuniones de video con zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se realizan mediante TLS y las conexiones UDP se cifran con AES mediante una clave negociada a través de una conexión TLS".

El cifrado de transporte, que es diferente del cifrado E2E porque el servicio Zoom en sí mismo puede acceder al contenido de video y audio no cifrado de las reuniones de Zoom. Entonces, cuando tenga una reunión de Zoom, el contenido de video y audio se mantendrá privado de cualquiera que espíe su Wi-Fi, pero no se mantendrá privado de la compañía.

Para que una reunión de Zoom esté cifrada extremo a extremo, el contenido de video y audio debería estar cifrado de tal manera que solo los participantes en la reunión tengan la capacidad de descifrarlo. El servicio Zoom en sí podría tener acceso al contenido cifrado de la reunión, pero no tendría las claves de cifrado necesarias para descifrarlo porque solo los participantes de la reunión tendrían estas claves y, por lo tanto, no tendría la capacidad técnica de escuchar sus reuniones privadas. Así es como funciona el cifrado E2E en aplicaciones de mensajería como Signal.

Matthew Green, un criptógrafo y profesor de ciencias de la computación en la Universidad Johns Hopkins, señala que las videoconferencias grupales son difíciles de cifrar de extremo a extremo. Esto se debe a que el proveedor de servicios necesita detectar quién está hablando para actuar como una centralita, lo que le permite enviar solo una videostream de alta resolución de la persona que está hablando en ese momento, o que un usuario selecciona al resto del grupo, y para enviar videostreams de baja resolución de otros participantes.

Este tipo de optimización es mucho más fácil si el proveedor de servicios puede ver todo porque no está cifrado. Si todo está cifrado de extremo a extremo, debe agregar algunos mecanismos adicionales para asegurarse de que puede hacer ese tipo de cambio de 'quién está hablando', y puede hacerlo de una manera que no filtre mucha información. Se debe llevar toda esa lógica a los equipos del usuarios. Sin embargo, esto no es imposible, dijo Green, como lo demostró FaceTime de Apple, que permite la videoconferencia grupal cifrada E2E. "Es factible. Simplemente no es fácil".

La única característica de Zoom que parece estar cifrada de extremo a extremo es el chat de texto en la reunión. "El cifrado de chat Zoom E2E permite una comunicación segura donde solo el destinatario puede leer el mensaje seguro".

Como si fuera poco, expertos también informaron sobre una falla de seguridad que permitiría a los atacante exponer credenciales para usar en ataques adicionales mediante el uso de rutas UNC en la versión de Zoom de Windows. Las rutas UNC son utilizadas para identificar servidores, impresoras y otros recursos en una red, y aparecen como barras dobles o barras invertidas.

Fuente: The Intercept

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!