Privacidade e proteção de dados: vulnerabilidades no Zoom, Chrome e Flash Player

A fim de demonstrar a latência dos riscos à segurança da informação e à privacidade e proteção de dados a que grandes corporações e a grande massa está sujeita no dia a dia, esse breve artigo abordou três aplicações conhecidas, tipicamente usadas em seu computador pessoal e profissional, demonstrando a existência de vulnerabilidades conhecidas e meios de explorá-las.

Dentre as aplicações mais usuais nos computadores comuns da atualidade,estão Zoom, Adobe Flash Player e Google Chrome. Sobre cada uma das três aplicações será exposto uma vulnerabilidade e desenvolvido sobre os detalhes desta, mediante pesquisa com base nas referências ao fim do documento.

Zoom e a criptografia de ponta-a-ponta: falhas nas práticas de privacidade

A. Fatos

Reportado em 01 de abril de 2020, através do blog oficial, o Zoom, relativamente às práticas de criptografia, pediram desculpas por terem incorretamente sugerido que as reuniões realizadas em suas plataformas eram capazes de usar criptografia de ponta a ponta.

Houve uma suposta discrepância entre a definição comumente aceita de criptografia de ponta a ponta e como a plataforma a considerou. Mediante os fatos, a plataforma pretendeu corrigir tal discrepância e esclarecer exatamente como criptografam o conteúdo que se move em sua rede, segundo Zoom (2020).

O divulgação foi feito por Grauer & Lee (2020), do portal The intercept.

B. Vulnerabilidade, detalhamento da descoberta e meios de explora-las:

O objetivo do projeto de criptografia é fornecer a máxima quantidade de privacidade possível e, ao mesmo tempo, apoiar as diversas necessidades da base de clientes.

Em uma reunião em que todos os participantes estão usando os Zoom Client e esta não está a ser gravada, são criptografados todo o conteúdo de vídeo, áudio, compartilhamento de tela e bate-papo no sending client, de modo que a plataforma não "descriptografa" antes de alcançar os receiving client.

Os Zoom Client incluem:

• Um laptop ou computador executando a aplicação – app Zoom;
• Um smartphone usando a aplicação – app Zoom;
• Zoom Room.

Nesse cenário, em que todos os participantes estão usando o aplicativo Zoom, nenhum conteúdo do usuário está disponível para os servidores ou funcionários do Zoom, em nenhum momento do processo de transmissão.

Vulnerabilidade:

O Zoom suporta um ecossistema diversificado de canais de comunicação, para o maior número possível de conexões. Logo, quando os usuários participam de reuniões usando dispositivos que não utilizam o protocolo de comunicação Zoom, a criptografia mencionada não pode ser aplicada diretamente, quando utilizado os seguintes dispositivos:

1. Telefone (conectado via linha telefônica tradicional ao invés do aplicativo) ou;
2. Sistemas baseados em sala SIP / H.323.

A criptografia utilizada não é ponta-a-ponta e sim a criptografia de transporte (a mesma utilizada nos protocolos HTTPS), apesar do que é veiculado pela empresa.

Ao passar o Mouse do computador no cadeado verde, no canto superior esquerdo do ecrã, apesar do acima exposto, aparece a mensagem que diz que a zoom utilizada criptografia de ponta-a-ponta. Veja abaixo:

Na documentação de segurança do Zoom, há uma lista de “recursos de segurança pré-reunião” disponíveis para o anfitrião da reunião, que se inicia por “Ativar uma reunião com criptografia de ponta-a-ponta (E2E)”. Mais adiante, “proteger uma reunião com criptografia E2E” aparece em uma lista de “recursos de segurança dentro da reunião”, disponíveis para os anfitriões, segundo Grauer & Lee (2020).

Veja abaixo:

Sobre a efetividade da criptografia de ponta-a-ponta nas reuniões em vídeo, um representante do Zoom respondeu por escrito ao portal The Intercept que “atualmente, não é possível habilitar a criptografia E2E em reuniões de vídeo. As reuniões de vídeo do Zoom usam uma combinação de TCP e UDP. As conexões TCP são realizadas com o protocolo TLS, e as conexões UDP usam criptografia AES com uma senha determinada em uma conexão TLS.”

A criptografia que o Zoom usa para proteger suas reuniões é a TLS, a mesma que os servidores web usam para dar segurança a sites HTTPS. Isso significa que a conexão entre o aplicativo Zoom que roda no computador ou no telefone de um usuário e o servidor do Zoom é criptografada da mesma forma que a conexão entre o navegador e um site HTTPS. (Grauer & Lee, 2020)

Por esse motivo, foi dito que a criptografia utilizada pelo zoom é a chamada criptografia de transporte, que se diferencia da criptografia de ponta-a-ponta, porque o próprio serviço do Zoom consegue aceder ao conteúdo não criptografado de áudio e vídeo das reuniões.

Assim, ao fazer uma reunião pelo Zoom, o áudio e o vídeo ficaram a salvo de qualquer pessoa que esteja espionando pela conexão Wi-Fi, mas não da própria empresa, segundo Grauer & Lee (2020), do portal The Intercept.

Modos de explorar a vulnerabilidade:

Sem a criptografia de ponta a ponta, o Zoom tem, tecnicamente, a possibilidade de espionar reuniões privadas em vídeo, e poderia ser obrigado a entregar gravações de reuniões para governos ou autoridades de segurança, em decorrência de determinação judicial, segundo Grauer & Lee (2020).

Diferente de empresas como Google e Microsoft, que publicam relatórios de transparência que descrevem exatamente quantas solicitações governamentais de dados são recebidas de quais países, e quantas são cumpridas, a exemplo do que consta no portal Acess Now , o Zoom não publica um relatório de transparência.

Num momento de pandemia, necessidade e vulnerabilidade, o cuidado com a privacidade dos dados e a conformidade na utilização destes, em especial, os pessoais, é de fundamental para um contexto sustentável, a fim de evitar instabilidades nos diversos setores sociais e econômicos.

As consequências e modos de exploração destas vulnerabilidades são diversas, entretanto, no escopo do presente trabalho não será possível aprofundar, tendo como exemplo desta questão o apontado no primeiro parágrafo deste tópico.

Adobe Flash Player - vulnerabilidade crítica (CVE -2018-4878) versão 28.0.0.137 e anteriores

A Vulnerabilidade:

Em 1º de fevereiro, a Adobe publicou um comunicado sobre uma vulnerabilidade Flash (CVE-2018-4878). Esta vulnerabilidade é um uso após liberação que permite a execução remota de código por meio de um objeto Flash malformado.

Além disso, a KISA (Korean CERT) publicou um comunicado sobre um dia 0 do Flash usado em Wild. Identificou-se que um invasor explorava essa vulnerabilidade com um objeto Flash incorporado em um documento do Microsoft Excel.

Ao abrir o documento, a exploração foi executada para fazer download de uma carga útil adicional de um site comprometido, que é ferramenta de Administração Remota chamada ROKRAT, particularidade usada em plataformas em nuvem para vazar documentos e gerenciar sistemas infetados, conforme Talos Intelligence, (2018).

Essa payload é um shellcode carregado na memória e executado. Identificamos explorações em Flash a partir de novembro de 2017. Para um melhor entendimento o workflow da exploração maliciosa da vulnerabilidade:

Conforme a Adobe (2018), as versões afetadas são:

Exploração da vulnerabilidade:

A exploração bem-sucedida pode permitir que um invasor assuma o controle do sistema afetado. Trata-se de uma vulnerabilidade use-after-free, que ocorre devido a um dangling point e no SDK do Primetime relacionado ao manuseio de objetos por media player. Portanto, um ataque bem-sucedido pode levar à execução arbitrária de código.

Reportado por: KrCERT/CC

Detalhes da vulnerabilidade:

Skype - CVE-2019-1029 | Vulnerabilidade de negação de serviço do Skype for Business e Lync Server

Exploração da vulnerabilidade:

Existe uma vulnerabilidade de negação de serviço no Skype for Business. Um invasor que explorar com êxito a vulnerabilidade pode fazer com que o Skype for Business pare de responder.

Observe que a negação de serviço não permitiria que um invasor executasse código ou elevasse os direitos de usuário do invasor. Para explorar a vulnerabilidade, um invasor precisa obter um link de discagem para um servidor vulnerável e, em seguida, inicia uma série de chamadas em um curto período de tempo, corrigindo a maneira como o servidor do Skype for Business lida com objetos na memória, conforme Microsoft (2019).

Avaliação da exploração:

A tabela a seguir fornece uma avaliação da capacidade de exploração dessa vulnerabilidade:

As consequências poderão ser:

• Impacto na disponibilidade: há um desligamento total do recurso afetado. O invasor pode tornar o recurso completamente indisponível;
• Complexidade de acesso: as condições de acesso são um pouco especializadas. Algumas pré-condições devem ser satisfeitas para serem exploradas.

Versões afetadas, segundo CVE Details (2019):

Diante disto, resta claro que as vulnerabilidades a que a grande massa está sujeita são latentes, apesar da falsa impressão de segurança e de que os perigos ocorrem apenas com grandes corporações. Esse fato reforça a importância das medidas de segurança da informação e privacidade e proteção de dados pessoais a todos os níveis de operação ou utilização.

Fonte: Adobe, CVE Details, The Intercept, Microsoft, Talos Intelligence, Zoom