Popular e onipresente (o software nem sempre é as duas coisas!) A empresa de reuniões em nuvem Zoom anunciou recentemente um bug que não deveria acontecer na versão para Mac de seu software.
O boletim de segurança foi escrito no estilo tipicamente staccato e cheio de jargões dos caçadores de bugs, mas o significado é bastante claro.
O bug é indicado CVE-2022-28762, e é detalhado em Boletim Zoom ZB-22023:
Quando o contexto de renderização do modo de câmera é habilitado como parte da API de Camadas de Aplicativo Zoom executando determinados Aplicativos Zoom, uma porta de depuração local é aberta pelo cliente Zoom.
Onde você gostaria de ir hoje?
Uma “porta de depuração” normalmente se refere a uma conexão de rede de escuta, geralmente um soquete TCP, que lida com solicitações de depuração.
Da mesma forma que um servidor de e-mail geralmente escuta na porta TCP 25, esperando que clientes de e-mail remotos “chamem” pela rede e solicitem permissão para entregar mensagens recebidas, as portas de depuração escutam em uma porta de sua própria escolha (geralmente configurável, embora às vezes apenas de forma não documentada) para conexões de entrada que desejam emitir comandos de depuração.
Ao contrário de um servidor de e-mail, no entanto, que aceita solicitações relacionadas à entrega de mensagens (por exemplo, MAIL FROM e RCPT TO), as conexões de depuração geralmente fornecem um tipo de interação muito mais íntimo com o aplicativo ao qual você está se conectando.
De fato, as portas de depuração geralmente permitem que você não apenas descubra a configuração e o estado interno do próprio aplicativo, mas também emita comandos diretamente para o aplicativo, incluindo o tipo de comandos que prejudicam a segurança que não estão disponíveis para usuários comuns que através da interface de usuário normal.
Um servidor de e-mail, por exemplo, normalmente permite que você envie uma mensagem para sua porta TCP para um nome de usuário de sua escolha, mas não permite que você envie comandos que reconfigurem o próprio servidor e não permitirá que você extraia informações secretas como estatísticas do servidor ou mensagens de outras pessoas.
Em contraste, esses são exatamente o tipo de “recursos” que as portas de depuração geralmente permitem, para que os desenvolvedores possam ajustar e monitorar o comportamento de seu aplicativo enquanto tentam corrigir problemas, sem precisar passar pela interface de usuário normal.
(Você pode ver como esse tipo de "canal lateral" nas entranhas de um aplicativo seria especialmente útil quando você está tentando depurar a própria interface do usuário, já que o ato de usar a interface do usuário para depurar a interface do usuário quase certamente interferiria com as mesmas medidas que você estava tentando fazer.)
Notavelmente, as portas de depuração normalmente permitem que você obtenha uma espécie de “visão interna” do próprio aplicativo, como: espiar áreas de memória que normalmente nunca seriam expostas aos usuários do aplicativo; captura de instantâneos de dados que podem conter dados confidenciais, como senhas e tokens de acesso; e acionar capturas de áudio ou vídeo sem alertar o usuário…
…tudo sem fazer login no aplicativo ou serviço em primeiro lugar.
Em outras palavras, portas de depuração são um mal necessário para uso durante o desenvolvimento e teste, mas não devem ser ativados, ou idealmente ativados, durante o uso regular do aplicativo, por causa das óbvias falhas de segurança que introduzem.
Não é necessária senha
Falando livremente, se você tiver acesso à porta TCP na qual o depurador está escutando e puder criar uma conexão TCP para ela, essa é toda a autenticação necessária para assumir o controle do aplicativo.
E é por isso que as portas de depuração normalmente são habilitadas apenas em circunstâncias cuidadosamente controladas, quando você sabe que realmente deseja permitir que um desenvolvedor possa vagar dentro do aplicativo, aproveitando o que é um acesso de superpotência efetivamente não regulamentado e potencialmente perigoso .
De fato, muitos produtos de software são deliberadamente construídos em dois tipos diferentes: uma compilação de depuração, na qual a depuração pode ser ativada se desejado, e uma compilação de lançamento na qual os recursos de depuração são omitidos completamente para que não possam ser ativados, seja por acidente ou por projeto.
Os telefones Android do Google incluem um modo de depuração, no qual você pode conectar um cabo USB e acessar o telefone (embora não com poderes de root completos) do seu laptop através do que é conhecido como ADB, abreviação de Ponte de depuração do Android. Para habilitar a depuração, primeiro você precisa clicar em Configurações > Sobre o telefone > Número da compilação sete vezes (mesmo!) seguidas. Só então a opção de ativar a depuração aparece nos menus, onde você pode ativá-la em Configurações > System > Avançado > Opções De Desenvolvedor > Depuração USB. Então, quando você se conecta e tenta se conectar a partir do seu laptop, é necessário autorizar a conexão por meio de um pop-up de aviso no próprio telefone. Você certamente pode fazer isso de propósito, se tiver acesso físico a um telefone desbloqueado, mas é improvável que aconteça por engano.
Para segurança adicional, as portas de depuração geralmente são configuradas para que não aceitem conexões provenientes de outros computadores (em termos técnicos, elas escutam apenas na interface “localhost”).
Isso significa que um invasor que pretenda usar indevidamente uma interface de depuração habilitada incorretamente precisaria primeiro de um ponto de apoio em seu computador, como algum tipo de malware de proxy que aceita conexões via Internet e, em seguida, retransmite seus pacotes de rede para a interface de rede “localhost”.
Apesar da necessidade de algum tipo de acesso local no caso do CVE-2022-28762, no entanto, o Zoom deu a esse bug uma “pontuação de gravidade” CVSS de 7.3/10 (73%) e uma classificação de urgência de Alta.
As conexões de rede TCP locais são normalmente projetadas para funcionar além dos limites do usuário e do processo, para que um invasor não precise estar conectado como você (ou como administrador) para abusar desse bug - qualquer processo, mesmo um programa executado em um convidado, poderá espioná-lo à vontade.
Além disso, como os comandos de software emitidos por meio de uma porta de depuração normalmente operam independentemente da interface de usuário normal de um aplicativo, você provavelmente não verá nenhum sinal de que sua sessão do Zoom foi invadida dessa maneira.
Se um invasor estivesse ativando o aplicativo por meio de canais de controle remoto mais convencionais do Mac, como o Compartilhamento de Tela (VNC), você teria pelo menos uma chance de detectar o invasor movendo o ponteiro do mouse, clicando nos botões do menu ou digitando texto…
…mas por meio de uma interface de depuração, que é essencialmente uma porta dos fundos deliberada, você pode estar felizmente inconsciente (e talvez até incapaz de detectar) que um invasor estava bisbilhotando você pessoalmente, usando sua webcam e seu microfone.
O que fazer?
Felizmente, a própria equipe de segurança do Zoom detectou o que supomos ser um erro de tempo de construção (um recurso deixado ativado que deveria ter sido suprimido) e atualizou prontamente o software Mac com bugs.
Atualize para o seu macOS Zoom Client para versão 5.12.0 ou posterior e a porta de depuração permanecerá fechada quando você usar o Zoom.
Em um Mac, vá para a página principal zoom.us menu e escolha Check for Updates... para ver se você tem a versão mais recente.
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- CVE-2022-28762
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- Segurança nua
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- bisbilhotando
- spyware
- Sem categoria
- VPN
- vulnerabilidade
- a segurança do website
- zefirnet
- zoom
![S3 Ep120: Quando a criptografia falsa simplesmente não desiste [Áudio + Texto]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-300x157.png "S3 Ep120: Quando a criptografia falsa simplesmente não desiste [Áudio + Texto]")
