L’Ajuntament de Canyelles no s’entera!

L‘Ajuntament de Canyelles segueix fent videoconferències amb l’aplicació estrella de les vulnerabilitats, una falta de privadesa fora del normal i una transparència totalment inexistent.

Moltes institucions d’arreu del món estan deixant d’utilitzar el servei d’aquesta companyia. Malauradament les institucions d’aquest país els importa tres pobles.

Institucions i companyies que han prohibit als seus treballadors utilitzar ZOOM

  • Govern de Taiwan ( Xina )
  • Departament de Nova York d’educació ( Passarà a utilitzar Microsoft Teams ).
  • Escoles de Singapur i Noruega
  • SpaceX ( Elon Musk )
  • Senat d’Estats Units
  • NASA
  • Google
  • Apple
  • Ministeri d’Assumptes Exteriors d’Alemanya
  • Força de defensa Australiana

Una petita part de les perles d’aquesta empresa.

  • El grup de recerca de cyberseguretat Check Point Research (cp<r>) va publicar un article el 28 de Gener de 2020, titulat “Zoom-Zoom: We Are Watching You” i que es pot veure aquí, on un tercer, podia unir-se a una reunió en vídeo sense ser convidat i per tant es podia veure, escoltar i tenir accés als documents privats de la reunió.
    Aquest problema sembla que el va solucionar ZOOM ampliant el nombre de dígits de la reunió de 4 a 8 i l’ús de paraula clau a la reunió de forma predeterminada. Més endavant ZOOM va ampliar a 9 i 11 dígits l’identificador.
  • Patrick Jackson cap de la companyia de software Disconnect i ex investigador de l’Agencia de Seguretat Nacional ( NSA ) va trobar milers de vídeos utilitzant un motor de cerca en línia gratuït que escaneja espais d’emmagatzematge al núvol. En aquest procés va trobar més de 15 mil clips. Molts dels vídeos es van trobar en fragments desprotegits a l’espai d’emmagatzematge d’Amazon, així com publicats en llocs tals com Vimeo, YouTube,etc.El gran problema va ser que els desenvolupadors de Zoom van ometre algunes característiques bàsiques de seguretat que sí que ofereixen altres plataformes de videoconfèrencia, com a exigir als usuaris que usin un nom d’arxiu únic abans de guardar els seus propis clips.
  • Robatori de credencials; En Windows, es va descobrir que Zoom li permetria a un atacant robar les credencials d’accés dels usuaris que fan clic en un enllaç per a unir-se a una reunió. Això es deu al fet que, en aquest sistema operatiu, Zoom és vulnerable a la injecció de ruta UNC en la funció de xat. Totes les versions per a Windows fins a la 4.6.8 són vulnerables.Aquest problema no esta solucionat, però es pot mitigar de la següent manera:Cal anar al menú de Configuració de Windows, després ingressar a Ajustos locals > Opcions de seguretat > Seguretat de xarxa i seleccionar l’opció “denegar tots” en la restricció de NTLM a servidors remots.
  • Instal·lació de Malware
    Es va detectar una vulnerabilitat Zero Day on un atacant de baix nivell, es podia elevar els privilegis al màxim nivell ( root ) i accedir per complet a tot l’equip amb sistema operatiu MacOS.També en MacOs un atacant podria injectar codi i podria obtenir el control de la càmera i el micròfon.
  • ZoomBombing / Accés sense consentiment a reunions privades.Zoom té un número d’identificació d’entre 9 i 11 dígits. Es tracta d’un número generat aleatòriament i que els participants utilitzen per a obtenir accés a una reunió. Es va descobrir que aquestes identificacions de reunions són fàcils d’endevinar i fins i tot es poden obtenir per força bruta, la qual cosa permet a qualsevol entre a les reunions.En la versió educativa ZOOM a corregit aquest problema. En les demes versions per evitar el ZoomBombing, s’ha d’anar al menú de configuració i on diu “compartir pantalla” triar que només la pugui compartir l’amfitrió.
  • Enviament d’informació a tercers
    La setmana passada, Zoom va actualitzar la seva aplicació iOS per a solucionar una falla que permetia l’enviament de dades del dispositiu a Facebook. Zoom després va haver de reescriure parts de la seva política de privacitat després d’aquest incident.Varies associacions de defensa dels drets digitals han demanat a ZOOM que publiqui un informe de transparència. ZOOM va informar, que consideraria aqueta sol·licitud, però a dia d’avui, no han publicat cap informe.
  • Certificat extrem a extrem; ZOOM a dia d’avui no xifra d’extrem a extrem les videotrucades. ZOOM utilitza un certificat TLS de l’usuari al servidor de la companyia.
    Un certificat extrem a extrem (2E2) es aquell que protegeix el contingut entre els usuaris sense haver de passar per un servidor de la companyia.
    ZOOM va realitzar un comunicat on informava que no era possible realitzar un xifrat E2E en les videotrucades.
  • Més de mig milió de comptes de ZOOM a la venta a la Deep web. Es creu que aquest comptes no provenen d’un hack a ZOOM sinó de llistes de correus electrònics.

 

Etiquetes

Gestionat per Gerard
© Copyright 2024, Tots els drets reservats