Pułapki wideokonferencji, czyli czy Zoom jest taki zły jak go malują

dodał 3 kwietnia 2020 o 14:58 w kategorii Błędy, Info, Mobilne, Prywatność, Złośniki  z tagami:
Pułapki wideokonferencji, czyli czy Zoom jest taki zły jak go malują

Ostatnio Zoom znalazł się w centrum uwagi. Nagle miliony ludzi na całym świecie zaczęły z niego intensywnie korzystać, a badacze zaczęli wykrywać różne, mniejsze lub większe podatności. Nie tylko badacze zajęli się tym tematem.

Cyberprzestępcy również dostrzegli potencjał tego narzędzia. Było tylko kwestią czasu, aby zaczęli nakłaniać internautów do instalowania fałszywych lub złośliwych aplikacji do wideokonferencji, by mogli czerpać korzyści z wielkiej populacji użytkowników.

Dokładniejsza analiza aplikacji Zoom ujawnia kilka znaczących problemów, tj. krytyczne podatności, szyfrowanie, a także zliberalizowane podejście do prywatności i bliską współpracę z Facebookiem.

Podatności… te mniejsze i te większe

W ostatnich dniach ujawniono podatność w oprogramowaniu Zoom dla systemu Windows, która może doprowadzić do przejęcia danych logowania do systemu operacyjnego. Luka polega na możliwości „wstrzyknięcia” ścieżki UNC (Universal Naming Convention) jako fragmentu rozmowy na czacie. Wklejona ścieżka jest aktywnym linkiem, w który rozmówca może kliknąć. Jeżeli ścieżka odnosi się do zasobu sieciowego montowanego w protokole SMB (np. \\evil.server.com\images\cat.jpg), to Windows domyślnie będzie próbował nawiązać połączenie poprzez protokół SMB do zdalnej ścieżki UNC i w tym momencie system ujawni login i hash NTLM hasła. Skrót (hash) hasła można łatwo złamać i otrzymać prawdziwe dane do logowania (co zademonstrował inny badacz). Podatność ta nie musi być taka groźna, jak początkowo wyglądała. Rzeczywiście można pozyskać hash hasła, jednak jego wykorzystanie do ataku nie jest już trywialne. Warto tu zapoznać się z komentarzami Adama Ziai i zrozumieć różnicę pomiędzy NTLM a Net-NTLM (do czego zachęcamy).

źródło: https://www.bleepingcomputer.com/news/security/zoom-client-leaks-windows-login-credentials-to-attackers/
źródło: https://www.bleepingcomputer.com/news/security/zoom-client-leaks-windows-login-credentials-to-attackers/

Dystrybucje Zoom na macOS także zawierają nowe i groźne podatności. Ujawniono problem nieautoryzowanego podniesienia uprawnień i wykonywanie aplikacji z prawami uprzywilejowanego użytkownika (root). Instalator Zooma używa wywołania API AuthorizationExecuteWithPrivileges, w którym  istnieje możliwość przekazania jako parametru programu do uruchomienia z uprawnieniami roota. Parametr ten może być edytowalny przez nieuprzywilejowanego użytkownika. Jest to oczywisty problem bezpieczeństwa, który może być w bardzo prosty sposób wykorzystany do instalacji złośliwej aplikacji. Pokazano również, jak posiadając uprawnienia do „wyjątku”, można wstrzyknąć złośliwą bibliotekę do zaufanego kontekstu procesu Zooma. Daje to złośliwemu oprogramowaniu możliwość nagrywania wszystkich spotkań lub po prostu uruchamia proces Zooma w tle, aby w dowolnym momencie uzyskać dostęp do mikrofonu i kamery internetowej.

źródło: https://objective-see.com/blog/blog_0x56.html

Szyfrowanie E2E

Mimo zapewnień producenta Zooma o szyfrowaniu komunikacji od urządzenia do urządzenia (tzw. E2E, end-to-end), okazuje się, że to nie do końca prawda. W spotkaniach wideo –  nawet przy wskazaniu opcji szyfrowania podczas zakładania wideokonferencji („Require Encryption for 3rd Party Endpoints”) – oprogramowanie nie stosuje szyfrowania. Twórcy oświadczają wprost, iż obecnie nie można włączyć szyfrowania E2E dla spotkań wideo. Spotkania wideo używają kombinacji TCP i UDP. Połączenia TCP są zabezpieczone przy użyciu TLS, a połączenia UDP są szyfrowane za pomocą AES przy użyciu klucza negocjowanego przez połączenie TLS. Oznacza to, że szyfrowanie jest w warstwie transportowej i w dużym uogólnieniu  połączenie jest zabezpieczone „z zewnątrz”, jednak prywatność nie zostaje zachowana. Może to oznaczać, że osoby mające dostęp do infrastruktury centralnej Zooma mają dostęp do informacji w sposób jawny. Dodatkowo warto zwrócić uwagę, iż Zoom nie udostępnił „raportu transparentności” opisującego, w jaki sposób firma chroni dane swoich klientów oraz  w jaki sposób i w jakiej ilości udostępnia informacje różnym służbom.

W zakresie ochrony prywatności użytkowników aplikacji model działania firmy pozostawia wiele do życzenia. Ujawniono, iż aplikacja Zooma przekazuje informacje do Facebooka. Aplikacja powiadamia Facebook, gdy użytkownik włączy Zooma, przekazując szczegóły o urządzeniu użytkownika, takie jak model, strefa czasowa i miasto, z którego się on łączy, jakiego operatora telefonicznego używa, przesyłany jest także unikalny identyfikator reklamodawcy. Opisane tu praktyki nie są w sposób precyzyjny zawarte w Polityce Prywatności.

Fałszywe domeny Zoom

Obecna sytuacja, gdy powinniśmy się izolować, sprawia, że internet i wszelkiego rodzaju narzędzia pracy grupowej zaczęły się cieszyć większą popularnością. Wzrost wykorzystania oprogramowania wideokonferencyjnego bardzo zwiększył  popularność Zooma w firmach. Przestępcy szybko wykorzystali potrzebę rynku i zaczęli rejestrować nieprawdziwe domeny podszywające się pod Zooma, aby infekować komputery i wykradać dane użytkowników. Raport pokazuje trend, w którym od początku roku zarejestrowano ponad 1700 złośliwych domen symulujących usługę Zoom, z czego 25% powstało w ostatnim tygodniu.   Bazując na tych serwisach, przestępcy dystrybuują oprogramowanie z dołączonymi „dodatkami” w postaci modułów ściągających złośliwy kod (np. zoom-us-zoom_##########.exe).

źródło: https://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/

Fałszywe aplikacje mobilne

Oczywiście w świecie aplikacji mobilnych przestępcy również zaczęli dystrybuować wersje klienta Zoom. Zmodyfikowali oni oryginalną aplikację, ponownie ją zapakowali i zaczęli rozpowszechniać w internecie w różnych repozytoriach (poza oficjalnym sklepem Google Play), czekając na zainstalowanie złośliwej wersji Zoom przez nowe ofiary.  Przykładem są aplikacje:

Analyzed sample: 30a1a22dcf7fa0b62809f510a43829b1
Packagename: us.zoom.videomeetings 
Detection: Android.Trojan.Downloader.UJ
App label: Zoom
Analiza aplikacji us.zoom.videomeetings w Kodous
Analyzed sample: 9930b683d4b31a3398da0fb75c27d056
Packagename: app.z1_android_421120320_app_original_file
Detection: Android.Trojan.HiddenAds.AJR
App label: ZOOM Cloud Meetings

Chociaż interfejs użytkownika jest identyczny jak u oryginalnej aplikacji, to ma dodatkową „funkcjonalność” ukrytą przed użytkownikiem. Złośliwe oprogramowanie próbuje pobrać złośliwy kod (payload) i go zainstalować.

źródło: https://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/
źródło: https://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/

Zoom tłumaczy i naprawia

Firma Zoom bardzo szybko zareagowała na zauważone problemy. 1 kwietnia opublikowała informację, w której opisała całą sytuację szybkiego rozwoju produktu i działań, jakie są podejmowane, by sprostać oczekiwaniom użytkowników. Z ważniejszych faktów:

  • 27 marca zrezygnowano z używania SDK Facebooka w kliencie iOS i zbierania informacji o użytkowniku,
  • 29 marca zmieniono politykę prywatności, opisując jednoznacznie kwestie gromadzenia i przetwarzania,
  • 1 kwietnia udostępniono poprawki na ujawnione (opisane powyżej) luki.

Dodatkowo wskazano uruchomienie działań mających podnieść bezpieczeństwo i – przede wszystkim – zaufanie do produktu. Są to program Bug Bounty, a także cotygodniowe spotkania omawiające bezpieczeństwo. Tak więc reakcja firmy na problemy z bezpieczeństwem rzutujące mocno na wizerunek narzędzia trzeba odbierać pozytywnie.

I co dalej …

Czytając powyższe, trzeba zrozumieć, iż Zoom jest po prostu oprogramowaniem do wideokonferencji. Został wyprodukowany w pewnym modelu biznesowym, z którym każdy się godził (kwestia szyfrowania czy ochrony prywatności). Być może część użytkowników nie do końca analizowała zapisy polityki. A obecnie znaczący wzrost popularności sprawił, że przestępcy zaczęli wykorzystywać słabości narzędzia na wszystkie sobie znane sposoby.

Na rynku jest więcej narzędzi typu Zoom (Webex, MS Teams, Polycom czy Skype). Czy są one lepsze i bezpieczniejsze? Dobór odpowiedniego narzędzia to kompromis pomiędzy bezpieczeństwem, prywatnością, funkcjonalnością i kosztem.  Warto mieć na uwadze, co dla nas jest najważniejsze i wybrać świadomie. Warto na przykładzie Zooma zobaczyć, na jak wiele wymiarów bezpieczeństwa trzeba zwracać uwagę. Widać, jak wzrost popularności obnażył niedoskonałości produktu, ale również jak zarządzający firmą reagowali, by nie zmarnować potencjału produktu.