Autor: Khanh Nguyen Yen, Engenheiro Software II, OPSWAT
Antecedentes
Existem muitas organizações e indivíduos que criam os seus próprios esquemas de encriptação. Embora existam vantagens de segurança na utilização de um esquema personalizado, as desvantagens são ampliadas quando o software que utiliza o esquema tem um grande número de utilizadores. A Zoom é uma empresa que utiliza o seu próprio esquema de encriptação proprietário, tendo sido descoberta uma grave vulnerabilidade de segurança relacionada com essa encriptação. Em resultado desta vulnerabilidade, foram divulgadas as informações de mais de 500 000 utilizadores do Zoom Meeting.
Devido à pandemia da COVID-19, os governos têm estado a impor ordens de abrigo no local, o que levou a que os funcionários trabalhassem a partir de casa. Para trabalhar de forma eficaz, eles devem permanecer conectados e se comunicar com segurança. O Zoom é uma ferramenta que muitas pessoas, em todo o mundo, utilizam para os ajudar a fazer isso. De facto, muitas empresas utilizam-na como principal meio de comunicação, o que torna esta vulnerabilidade um problema grave.
Porque é que isto aconteceu?
Numa publicação de abril no blogue da Zoom, a empresa explica que não implementa atualmente uma verdadeira encriptação de ponta a ponta, embora tenha designado a sua encriptação de ponta a ponta. Eles usaram o termo para descrever um tipo de criptografia de transporte entre dispositivos e servidores Zoom. Como resultado, teoricamente, a Zoom tem a capacidade de descriptografar e monitorar as informações do Zoom Meeting, uma vez que essas informações estão no servidor.
Onde está a vulnerabilidade?
Os dados de vídeo e áudio das reuniões Zoom são distribuídos a todos os participantes por meio de um servidor Zoom (a nuvem da Zoom). Quando os clientes optam por hospedar no local, a Zoom gera e tem acesso à chave AES que criptografa a reunião. Os anfitriões da reunião podem configurar suas reuniões para ter salas de espera virtuais, o que nega aos participantes acesso direto a uma reunião Zoom. Em vez disso, os participantes têm de esperar para serem autorizados a entrar pelo anfitrião da reunião. (De acordo com os investigadores do The Citizen Lab). No entanto, cada pessoa na sala de espera tem acesso à chave de desencriptação da reunião. Assim, um ator malicioso não tem de entrar na reunião para aceder ao fluxo de vídeo e áudio da reunião.
Foi comunicado outro problema crítico de segurança relacionado com a encriptação da aplicação Zoom. De acordo com documentos anteriormente divulgados, a aplicação Zoom utilizou o algoritmo AES-256 para encriptar o conteúdo das reuniões. Mas, na realidade, a aplicação Zoom utiliza uma única chave de encriptação de 128 bits.
Por fim, o Zoom criptografa e descriptografa todo o áudio e vídeo durante as reuniões usando AES no modo ECB. A criptografia ECB não é recomendada porque é semanticamente insegura, o que significa que a simples observação do texto cifrado com ECB pode vazar informações sobre o texto simples. O modo ECB é utilizado no mesmo bloco (8 ou 16 bytes) de encriptação de texto simples que produz sempre o mesmo bloco de texto cifrado. Isto pode permitir a um atacante detetar que as mensagens encriptadas em ECB são idênticas ou contêm dados repetitivos, partilham um prefixo comum ou outras subcadeias comuns.
Para mais pormenores, existe uma boa demonstração gráfica deste ponto fraco na Wikipédia
Esta vulnerabilidade de encriptação foi comunicada como CVE-2020-11500.
Mais informações sobre esta vulnerabilidade estão disponíveis em https://metadefender.opswat.com/vulnerabilities/CVE-2020-11500
Efeitos potenciais
Será mais fácil para os atacantes desencriptar o conteúdo das reuniões e violar a privacidade dos utilizadores.
Como é que o OPSWAT detecta a vulnerabilidade do Zoom?
OPSWAT As tecnologias podem monitorizar todos os pontos finais da organização que tenham esta vulnerabilidade.
MetaDefender O Access pode detetar dispositivos que têm a vulnerabilidade CVE-2020-11500 do Zoom, bem como fornecer instruções de correção.
Remediação
Recomenda-se vivamente que mantenha o Zoom sempre atualizado.
Referências
https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Electronic_Codebook_(ECB)
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
