Zoom para Mac corrige el error furtivo de "espiarme": ¡actualice ahora!

Popular y omnipresente (¡el software no siempre es ambas cosas!), la compañía de reuniones en la nube Zoom anunció recientemente un error que no se suponía que sucediera en la versión para Mac de su software.

El boletín de seguridad está, perdonablemente, escrito en el estilo típicamente entrecortado y empapado de jerga de los cazadores de errores, pero el significado es bastante claro.

El error se denota CVE-2022-28762, y se detalla en Boletín Zoom ZB-22023:

Cuando el contexto de representación del modo de cámara está habilitado como parte de la API de capas de aplicaciones de Zoom mediante la ejecución de ciertas aplicaciones de Zoom, el cliente de Zoom abre un puerto de depuración local.

¿A donde te gustaría ir hoy?

Un "puerto de depuración" generalmente se refiere a una conexión de red de escucha, generalmente un socket TCP, que maneja las solicitudes de depuración.

De la misma manera que un servidor de correo electrónico generalmente escucha en el puerto TCP 25, esperando que los clientes de correo electrónico remotos "llamen" a través de la red y soliciten permiso para entregar los mensajes entrantes, los puertos de depuración escuchan en un puerto de su elección (a menudo configurable, aunque a veces solo de forma no documentada) para las conexiones entrantes que desean emitir comandos de depuración.

Sin embargo, a diferencia de un servidor de correo electrónico, que acepta solicitudes relacionadas con la entrega de mensajes (p. MAIL FROM y RCPT TO), las conexiones de depuración generalmente brindan un tipo de interacción mucho más íntima con la aplicación a la que se está conectando.

De hecho, los puertos de depuración generalmente le permiten no solo conocer la configuración y el estado interno de la aplicación en sí, sino también emitir comandos directamente a la aplicación, incluido el tipo de comandos que socavan la seguridad que no están disponibles para los usuarios habituales que van a través de la interfaz de usuario habitual.

Un servidor de correo electrónico, por ejemplo, normalmente le permitirá enviar un mensaje a su puerto TCP para un nombre de usuario de su elección, pero no le permitirá enviar comandos que reconfiguren el servidor en sí, y no le permitirá extraer información secreta. como estadísticas del servidor o mensajes de otras personas.

Por el contrario, esas son exactamente el tipo de "características" que los puertos de depuración generalmente permiten, de modo que los desarrolladores pueden modificar y monitorear el comportamiento de su aplicación mientras intentan solucionar problemas, sin necesidad de pasar por la interfaz de usuario normal.

(Puede ver cómo este tipo de "canal lateral" en las entrañas de una aplicación sería especialmente útil cuando intenta depurar la interfaz de usuario en sí, dado que el acto de usar la IU para depurar la IU casi seguramente interferiría con las mismas medidas que estaba tratando de hacer.)

En particular, la depuración de puertos generalmente le permite obtener una especie de "vista interna" de la aplicación en sí, como: mirar áreas de la memoria que normalmente nunca estarían expuestas a los usuarios de la aplicación; tomar instantáneas de datos que podrían contener datos confidenciales, como contraseñas y tokens de acceso; y activar capturas de audio o video sin alertar al usuario...

…todo sin iniciar sesión en la aplicación o el servicio en primer lugar.

En otras palabras, los puertos de depuración son un mal necesario para su uso durante el desarrollo y las pruebas, pero se supone que no deben activarse, o idealmente ni siquiera activarse, durante el uso regular de la aplicación, debido a los obvios agujeros de seguridad que introducen.

No se necesita contraseña

En términos generales, si tiene acceso al puerto TCP en el que escucha el depurador y puede crear una conexión TCP con él, esa es toda la autenticación que necesita para hacerse cargo de la aplicación.

Y es por eso que los puertos de depuración generalmente solo se habilitan en circunstancias cuidadosamente controladas, cuando sabe que realmente desea permitir que un desarrollador pueda deambular dentro de la aplicación, disfrutando de lo que efectivamente es un acceso de superpotencia no regulado y potencialmente peligroso.

De hecho, muchos productos de software se construyen deliberadamente en dos sabores diferentes: una versión de depuración, donde la depuración se puede activar si se desea, y una versión de lanzamiento en la que las funciones de depuración se omiten por completo para que no se puedan activar en absoluto, ya sea por accidente o por diseño.

Los teléfonos Android de Google incluyen un modo de depuración, mediante el cual puede conectar un cable USB y acceder al teléfono (aunque no con todos los poderes de raíz) desde su computadora portátil a través de lo que se conoce como ADB, abreviatura de Puente de depuración de Android. Para habilitar la depuración, primero debe hacer clic en Ajustes > Acerca del teléfono > Número de compilación siete veces (¡de verdad!) seguidas. Solo entonces aparece la opción de activar la depuración en los menús, donde puede activarla en Ajustes > System > Avanzado > Opciones De Desarrollador > Depuración USB. Luego, cuando se conecta e intenta conectarse desde su computadora portátil, debe autorizar la conexión a través de una ventana emergente de advertencia en el teléfono. Ciertamente puede hacer esto a propósito, si tiene acceso físico a un teléfono desbloqueado, pero es poco probable que suceda por error.

Para mayor seguridad, los puertos de depuración a menudo se configuran para que no acepten conexiones que provengan de otras computadoras (en términos técnicos, solo escuchan en la interfaz "localhost").

Esto significa que un atacante que busca hacer un uso indebido de una interfaz de depuración habilitada incorrectamente primero necesitaría un punto de apoyo en su computadora, como algún tipo de malware proxy que acepte conexiones a través de Internet y luego transmita sus paquetes de red a la interfaz de red "localhost".

Sin embargo, a pesar de la necesidad de algún tipo de acceso local en el caso de CVE-2022-28762, Zoom le dio a este error un "puntaje de gravedad" CVSS de 7.3/10 (73%) y una calificación de urgencia de Alta.

Las conexiones de red TCP locales generalmente están diseñadas para funcionar a través de los límites de usuarios y procesos, por lo que un atacante no necesitaría iniciar sesión como usted (o como administrador) para abusar de este error: cualquier proceso, incluso un programa que se ejecuta bajo un límite muy limitado. cuenta de invitado, podría espiarlo a voluntad.

Además, debido a que los comandos de software emitidos a través de un puerto de depuración generalmente funcionan independientemente de la interfaz de usuario normal de una aplicación, probablemente no verá ninguna señal de que su sesión de Zoom haya sido secuestrada de esta manera.

Si un atacante estuviera activando la aplicación a través de canales de control remoto de Mac más convencionales, como Compartir pantalla (VNC), al menos tendría la posibilidad de detectar al atacante moviendo el puntero del mouse, haciendo clic en los botones del menú o escribiendo texto...

…pero a través de una interfaz de depuración, que es esencialmente una puerta trasera deliberada, es posible que no se dé cuenta (y tal vez incluso no pueda detectar) que un atacante lo estaba espiando personalmente, usando su cámara web y su micrófono.

¿Qué hacer?

Afortunadamente, el propio equipo de seguridad de Zoom detectó lo que asumimos que fue un error en el tiempo de compilación (una función que se dejó habilitada y que debería haberse suprimido) y actualizó rápidamente el software defectuoso de Mac.

Actualice su macOS Zoom Client para versión 5.12.0 o posterior y el puerto de depuración permanecerá cerrado cuando use Zoom.

En una Mac, ve a la página principal zoom.us menú y elegir Check for Updates... para ver si tienes la última versión.

---