Un grupo de hackers, han encontrado una importante vulnerabilidad por parte de la ya conocidos por todos, aplicación de Zoom.
Aplicaciones de videollamadas
Los confinamientos que se produjeron al comienzo de la pandemia de COVID-19 aumentaron el uso de aplicaciones de videollamadas. Entre las más populares podemos encontrar Microsoft Teams o Zoom. En este último han encontrado, el pasado 8 de abril, una vulnerabilidad. La cual afecta gravemente a la privacidad de sus usuarios obteniendo ilegalmente el control del ordenador.
Esta vulnerabilidad se detectó en el concurso Pwn2Own, organizado por Zero Day Initiative (ZDI), de la empresa de ciberseguridad Trend Micro. En este concurso, participaron 23 equipos de los llamados “hackers blancos” cuya función principal es buscar fallos en varios programas, para actualizarlos después con seguridad reforzada.
Errores en el software de la plataforma
Los investigadores del equipo Computest demostraron, mediante una serie de ataques, tres errores dentro del software de la propia plataforma. Sin que el propio usuario se dé cuenta, permitiendo acceder a sus datos personales. Estos fallos están presentes tanto para los usuarios de Windows como para los de Mac. Gracias a esta acción, Computest ganó el concurso y una suma de 200.000 dólares.
Aunque la ruta del ataque no se mostrará durante los próximos 90 días, en la cuenta oficial de Twitter de ZDI se muestra un gif, en la que se puede observar como se abre la calculadora del ordenador infectado. Sin que se introduzca en ella ningún comando comprobando que está siendo controlada desde la distancia.
Fallos en otras aplicaciones
En el concurso no sólo se encontraron la vulnerabilidad en la aplicación de Zoom. Los propios concursantes encontraron fallos en Windows 10 (introduciendo un malware para controlar el sistema), los navegadores Safari y Google Chrome o Teams.
Gracias a este tipo de concursos existen actualizaciones para los distintos programas que utilizamos todos los días. Por esto es importante actualizar siempre los sistemas operativos y los programas que utilizamos para evitar que personas no deseadas intenten acceder a nuestros equipos apropiándose indebidamente de datos y/o documentación importante.
Luis Casado
