Expertos en seguridad han descubierto una falla en productos de Zoom y AudioCodes que permitiría a los hackers escuchar tus llamadas de videoconferencia, robar datos sensibles e incluso lanzar malware más destructivo, como infostealers (aplicaciones que roban contraseñas) o ransomware (aplicaciones que bloquean el acceso a documentos personales).
El experto en seguridad Moritz Abrell, encontró fallas en los teléfonos de la empresa AudioCodes, y también en la sección de Zoom llamada “aprovisionamiento sin contacto” (ZTP), herramienta que permite administrar los dispositivos que se usan para llamadas de voz y comunicación, como celulares o computadores.
En caso de que los hackers logren tener acceso a la configuración, podrían cambiar los ajustes de todos los dispositivos al mismo tiempo (incluyendo celulares y computadores) desde un solo lugar.
¿Cómo podrían acceder los hackers a las llamadas?
El proceso de aprovisionamiento sin contacto (ZTP) es el más vulnerable de Zoom. Cuando la herramienta configura el servidor ZTP, lo hace sin un mecanismo de autenticación por parte del cliente. Esto deja abierta la posibilidad para que piratas informáticos infiltren malware desde un servidor ficticio.
Además, también se encontró un problema de autenticación en los teléfonos de AudioCodes, que los ciberdelincuentes podrían usar para descifrar información sensible. Combinando estas dos fallas, se obtiene una cadena de explotación que otorga a los atacantes el acceso total a los dispositivos vulnerables.
“Cuando se combinan, estas vulnerabilidades pueden usarse para tomar el control de dispositivos arbitrarios. Dado que este ataque es altamente escalable, plantea un riesgo de seguridad significativo”, afirmó Abrell.
Hace tres años, en los primeros días de la pandemia Covid-19, Zoom se convirtió en una de las aplicaciones más utilizadas, lo que resultó en un enorme aumento en su popularidad. Como resultado, los hackers exploraron en profundidad el código del programa, encontrando una gran cantidad de fallas.
En un momento, la situación fue tan grave que la compañía detuvo toda producción y se centró únicamente en mejorar la seguridad de sus servicios.