Autore: Khanh Nguyen Yen, Ingegnere Software II, OPSWAT
Sfondo
Sono molte le organizzazioni e le persone che creano i propri schemi di crittografia. Sebbene l'uso di uno schema personalizzato presenti dei vantaggi in termini di sicurezza, gli svantaggi si amplificano quando il software che lo utilizza ha un numero elevato di utenti. Zoom è un'azienda che utilizza un proprio schema di crittografia proprietario e ha scoperto una grave vulnerabilità di sicurezza legata a tale crittografia. A causa di questa vulnerabilità, sono trapelate le informazioni di oltre 500.000 utenti di Zoom Meeting.
A causa della pandemia COVID-19, i governi hanno imposto l'ordine di "shelter in place", il che ha portato i dipendenti a lavorare da casa. Per lavorare in modo efficace, devono rimanere connessi e comunicare in modo sicuro. Zoom è uno strumento che molte persone, in tutto il mondo, usano per aiutarli a farlo. In effetti, molte aziende lo utilizzano come mezzo di comunicazione principale, rendendo questa vulnerabilità un problema serio.
Perché è successo?
In un post sul blog di Zoom di aprile, Zoom spiega che attualmente non implementa una vera e propria crittografia end-to-end, sebbene abbia definito la propria crittografia end-to-end. Il termine è stato utilizzato per descrivere un tipo di crittografia di trasporto tra i dispositivi e i sever di Zoom. Di conseguenza, in teoria, Zoom è in grado di decifrare e monitorare le informazioni di Zoom Meeting, una volta che queste si trovano sul server.
Dov'è la vulnerabilità?
I dati video e audio delle riunioni Zoom vengono distribuiti a tutti i partecipanti attraverso un server Zoom (il cloud di Zoom). Quando i clienti scelgono l'hosting in sede, Zoom genera e ha accesso alla chiave AES che cripta la riunione. Gli host delle riunioni possono impostare le loro riunioni in modo da avere sale d'attesa virtuali, che negano ai partecipanti alla riunione l'accesso diretto a una riunione Zoom. I partecipanti devono invece aspettare di essere ammessi dall'organizzatore della riunione. (Secondo i ricercatori di The Citizen Lab). Tuttavia, ogni persona nella sala d'attesa ha accesso alla chiave di decodifica della riunione. Pertanto, un attore malintenzionato non deve effettivamente partecipare alla riunione per accedere al flusso video e audio della riunione.
È stato segnalato un altro problema di sicurezza critico con la crittografia di Zoom. Secondo i documenti precedentemente rilasciati, l'applicazione Zoom ha utilizzato l'algoritmo AES-256 per crittografare i contenuti delle riunioni. In realtà, l'applicazione Zoom utilizza invece una singola chiave di crittografia a 128 bit.
Infine, Zoom cripta e decripta tutti gli audio e i video durante le riunioni utilizzando AES in modalità ECB. La crittografia ECB non è consigliata perché è semanticamente insicura, il che significa che la semplice osservazione del testo cifrato in modalità ECB può far trapelare informazioni sul testo in chiaro. La modalità ECB viene utilizzata nello stesso blocco (8 o 16 byte) di crittografia del testo in chiaro che produce sempre lo stesso blocco di testo cifrato. Ciò può consentire a un aggressore di rilevare che i messaggi crittografati in modalità ECB sono identici o contengono dati ripetitivi, condividono un prefisso comune o altre sottostringhe comuni.
Per maggiori dettagli, c'è una bella dimostrazione grafica di questa debolezza su Wikipedia
Questa vulnerabilità della crittografia è stata segnalata come CVE-2020-11500.
Ulteriori informazioni su questa vulnerabilità sono disponibili all'indirizzo https://metadefender.opswat.com/vulnerabilities/CVE-2020-11500
Effetti potenziali
Per gli aggressori sarà più facile decriptare i contenuti delle riunioni e violare la privacy degli utenti.
Come fa OPSWAT a rilevare la vulnerabilità di Zoom?
OPSWAT Le tecnologie possono monitorare tutti gli endpoint dell'organizzazione che presentano questa vulnerabilità.
MetaDefender Access è in grado di rilevare i dispositivi che presentano la vulnerabilità Zoom CVE-2020-11500 e di fornire istruzioni per la correzione.
Bonifica
Si raccomanda vivamente di tenere sempre aggiornato lo Zoom.
Riferimenti
https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Electronic_Codebook_(ECB)
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
