Autor: Khanh Nguyen Yen, inginer Software II, OPSWAT
Fond
Există multe organizații și persoane care își creează propriile scheme de criptare. Deși utilizarea unei scheme personalizate prezintă avantaje în materie de securitate, dezavantajele sunt amplificate atunci când software-ul care utilizează schema respectivă are un număr mare de utilizatori. Zoom este o companie care utilizează o schemă proprie de criptare și a fost descoperită o vulnerabilitate gravă de securitate legată de această criptare. Ca urmare a acestei vulnerabilități, informațiile a peste 500.000 de utilizatori Zoom Meeting au fost divulgate.
Din cauza pandemiei COVID-19, guvernele au impus ordine de adăpost, ceea ce a determinat angajații să lucreze de acasă. Pentru a lucra eficient, aceștia trebuie să rămână conectați și să comunice în siguranță. Zoom este un instrument pe care mulți oameni, din întreaga lume, îl folosesc pentru a-i ajuta să facă acest lucru. De fapt, multe companii îl folosesc ca principal mijloc de comunicare, ceea ce face ca această vulnerabilitate să fie o problemă serioasă.
De ce s-a întâmplat acest lucru?
Într-o postare pe blogul Zoom din aprilie, Zoom explică faptul că nu implementează în prezent o criptare end-to-end reală, deși a numit criptarea lor end-to-end. Au folosit termenul pentru a descrie un tip de criptare a transportului între dispozitive și separatoarele Zoom. Ca urmare, teoretic, Zoom are capacitatea de a decripta și de a monitoriza informațiile de la Zoom Meeting, odată ce aceste informații se află pe server.
Unde este vulnerabilitatea?
Datele video și audio ale reuniunilor Zoom sunt distribuite tuturor participanților prin intermediul unui server Zoom (cloud-ul Zoom). Atunci când clienții aleg să găzduiască la fața locului, Zoom generează și are acces la cheia AES care criptează reuniunea. Gazdele reuniunilor pot seta ca reuniunile lor să aibă săli de așteptare virtuale, ceea ce refuză accesul direct al participanților la o reuniune Zoom. În schimb, participanții trebuie să aștepte să li se permită accesul de către gazda reuniunii. (Conform cercetătorilor de la The Citizen Lab). Cu toate acestea, fiecare persoană din sala de așteptare are acces la cheia de decriptare a reuniunii. Astfel, un actor rău intenționat nu trebuie să se alăture efectiv întâlnirii pentru a accesa fluxul video și audio al acesteia.
A fost raportată o altă problemă critică de securitate legată de criptarea Zoom. Conform unor documente publicate anterior, aplicația Zoom a folosit algoritmul AES-256 pentru a cripta conținutul reuniunilor. Dar, de fapt, aplicația Zoom folosește în schimb o singură cheie de criptare pe 128 de biți.
În cele din urmă, Zoom criptează și decriptează toate înregistrările audio și video în timpul ședințelor folosind AES în modul ECB. Criptarea ECB nu este recomandată deoarece este nesigură din punct de vedere semantic, ceea ce înseamnă că simpla observare a textului cifrat ECB poate dezvălui informații despre textul în clar. Modul ECB este utilizat în același bloc (8 sau 16 octeți) de criptare a textului în clar care produce întotdeauna același bloc de text cifrat. Acest lucru poate permite unui atacator să detecteze faptul că mesajele criptate prin BCE sunt identice sau conțin date repetitive, au un prefix comun, alte sub-secvențe comune.
Pentru mai multe detalii, există o demonstrație grafică frumoasă a acestei slăbiciuni pe Wikipedia
Această vulnerabilitate de criptare a fost raportată ca CVE-2020-11500.
Mai multe informații despre această vulnerabilitate sunt disponibile la https://metadefender.opswat.com/vulnerabilities/CVE-2020-11500.
Efecte potențiale
Atacatorilor le va fi mai ușor să decripteze conținutul reuniunilor și să încalce confidențialitatea utilizatorilor.
Cum detectează OPSWAT vulnerabilitatea Zoom?
OPSWAT pot monitoriza toate punctele finale din organizație care prezintă această vulnerabilitate.
MetaDefender Access poate detecta dispozitivele care au vulnerabilitatea Zoom CVE-2020-11500, precum și poate oferi instrucțiuni de remediere.
Remediere
Se recomandă cu insistență să păstrați întotdeauna Zoom actualizat.
Referințe
https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Electronic_Codebook_(ECB)
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
