Privacidade e proteção de dados: vulnerabilidades no Zoom, Chrome e Flash Player
Por Yuri R. Ladeia | 14 de Julho de 2020 às 10h50
A fim de demonstrar a latência dos riscos à segurança da informação e à privacidade e proteção de dados a que grandes corporações e a grande massa está sujeita no dia a dia, esse breve artigo abordou três aplicações conhecidas, tipicamente usadas em seu computador pessoal e profissional, demonstrando a existência de vulnerabilidades conhecidas e meios de explorá-las.
Dentre as aplicações mais usuais nos computadores comuns da atualidade,estão Zoom, Adobe Flash Player e Google Chrome. Sobre cada uma das três aplicações será exposto uma vulnerabilidade e desenvolvido sobre os detalhes desta, mediante pesquisa com base nas referências ao fim do documento.
Zoom e a criptografia de ponta-a-ponta: falhas nas práticas de privacidade
A. Fatos
Reportado em 01 de abril de 2020, através do blog oficial, o Zoom, relativamente às práticas de criptografia, pediram desculpas por terem incorretamente sugerido que as reuniões realizadas em suas plataformas eram capazes de usar criptografia de ponta a ponta.
Houve uma suposta discrepância entre a definição comumente aceita de criptografia de ponta a ponta e como a plataforma a considerou. Mediante os fatos, a plataforma pretendeu corrigir tal discrepância e esclarecer exatamente como criptografam o conteúdo que se move em sua rede, segundo Zoom (2020).
O divulgação foi feito por Grauer & Lee (2020), do portal The intercept.
B. Vulnerabilidade, detalhamento da descoberta e meios de explora-las:
O objetivo do projeto de criptografia é fornecer a máxima quantidade de privacidade possível e, ao mesmo tempo, apoiar as diversas necessidades da base de clientes.
Em uma reunião em que todos os participantes estão usando os Zoom Client e esta não está a ser gravada, são criptografados todo o conteúdo de vídeo, áudio, compartilhamento de tela e bate-papo no sending client, de modo que a plataforma não "descriptografa" antes de alcançar os receiving client.
Os Zoom Client incluem:
- Um laptop ou computador executando a aplicação – app Zoom;
- Um smartphone usando a aplicação – app Zoom;
- Zoom Room.
Nesse cenário, em que todos os participantes estão usando o aplicativo Zoom, nenhum conteúdo do usuário está disponível para os servidores ou funcionários do Zoom, em nenhum momento do processo de transmissão.
Vulnerabilidade:
O Zoom suporta um ecossistema diversificado de canais de comunicação, para o maior número possível de conexões. Logo, quando os usuários participam de reuniões usando dispositivos que não utilizam o protocolo de comunicação Zoom, a criptografia mencionada não pode ser aplicada diretamente, quando utilizado os seguintes dispositivos:
- Telefone (conectado via linha telefônica tradicional ao invés do aplicativo) ou;
- Sistemas baseados em sala SIP / H.323.
A criptografia utilizada não é ponta-a-ponta e sim a criptografia de transporte (a mesma utilizada nos protocolos HTTPS), apesar do que é veiculado pela empresa.
Ao passar o Mouse do computador no cadeado verde, no canto superior esquerdo do ecrã, apesar do acima exposto, aparece a mensagem que diz que a zoom utilizada criptografia de ponta-a-ponta. Veja abaixo:
Na documentação de segurança do Zoom, há uma lista de “recursos de segurança pré-reunião” disponíveis para o anfitrião da reunião, que se inicia por “Ativar uma reunião com criptografia de ponta-a-ponta (E2E)”. Mais adiante, “proteger uma reunião com criptografia E2E” aparece em uma lista de “recursos de segurança dentro da reunião”, disponíveis para os anfitriões, segundo Grauer & Lee (2020).
Veja abaixo:
Sobre a efetividade da criptografia de ponta-a-ponta nas reuniões em vídeo, um representante do Zoom respondeu por escrito ao portal The Intercept que “atualmente, não é possível habilitar a criptografia E2E em reuniões de vídeo. As reuniões de vídeo do Zoom usam uma combinação de TCP e UDP. As conexões TCP são realizadas com o protocolo TLS, e as conexões UDP usam criptografia AES com uma senha determinada em uma conexão TLS.”
A criptografia que o Zoom usa para proteger suas reuniões é a TLS, a mesma que os servidores web usam para dar segurança a sites HTTPS. Isso significa que a conexão entre o aplicativo Zoom que roda no computador ou no telefone de um usuário e o servidor do Zoom é criptografada da mesma forma que a conexão entre o navegador e um site HTTPS. (Grauer & Lee, 2020)
Por esse motivo, foi dito que a criptografia utilizada pelo zoom é a chamada criptografia de transporte, que se diferencia da criptografia de ponta-a-ponta, porque o próprio serviço do Zoom consegue aceder ao conteúdo não criptografado de áudio e vídeo das reuniões.
Assim, ao fazer uma reunião pelo Zoom, o áudio e o vídeo ficaram a salvo de qualquer pessoa que esteja espionando pela conexão Wi-Fi, mas não da própria empresa, segundo Grauer & Lee (2020), do portal The Intercept.
Modos de explorar a vulnerabilidade:
Sem a criptografia de ponta a ponta, o Zoom tem, tecnicamente, a possibilidade de espionar reuniões privadas em vídeo, e poderia ser obrigado a entregar gravações de reuniões para governos ou autoridades de segurança, em decorrência de determinação judicial, segundo Grauer & Lee (2020).
Diferente de empresas como Google e Microsoft, que publicam relatórios de transparência que descrevem exatamente quantas solicitações governamentais de dados são recebidas de quais países, e quantas são cumpridas, a exemplo do que consta no portal Acess Now , o Zoom não publica um relatório de transparência.
Num momento de pandemia, necessidade e vulnerabilidade, o cuidado com a privacidade dos dados e a conformidade na utilização destes, em especial, os pessoais, é de fundamental para um contexto sustentável, a fim de evitar instabilidades nos diversos setores sociais e econômicos.
As consequências e modos de exploração destas vulnerabilidades são diversas, entretanto, no escopo do presente trabalho não será possível aprofundar, tendo como exemplo desta questão o apontado no primeiro parágrafo deste tópico.
Adobe Flash Player - vulnerabilidade crítica (CVE -2018-4878) versão 28.0.0.137 e anteriores
A Vulnerabilidade:
Em 1º de fevereiro, a Adobe publicou um comunicado sobre uma vulnerabilidade Flash (CVE-2018-4878). Esta vulnerabilidade é um uso após liberação que permite a execução remota de código por meio de um objeto Flash malformado.
Além disso, a KISA (Korean CERT) publicou um comunicado sobre um dia 0 do Flash usado em Wild. Identificou-se que um invasor explorava essa vulnerabilidade com um objeto Flash incorporado em um documento do Microsoft Excel.
Ao abrir o documento, a exploração foi executada para fazer download de uma carga útil adicional de um site comprometido, que é ferramenta de Administração Remota chamada ROKRAT, particularidade usada em plataformas em nuvem para vazar documentos e gerenciar sistemas infetados, conforme Talos Intelligence, (2018).
Essa payload é um shellcode carregado na memória e executado. Identificamos explorações em Flash a partir de novembro de 2017. Para um melhor entendimento o workflow da exploração maliciosa da vulnerabilidade:
Conforme a Adobe (2018), as versões afetadas são:
Produto | Versão | Plataforma |
Tempo de execução de desktop do Adobe Flash Player | 28.0.0.137 e versões anteriores | Windows, Macintosh |
Adobe Flash Player para Google Chrome | 28.0.0.137 e versões anteriores | Windows, Macintosh, Linux e Chrome OS |
Adobe Flash Player para Microsoft Edge e Internet Explorer 11 | 28.0.0.137 e versões anteriores | Windows 10 e 8.1 |
Tempo de execução de desktop do Adobe Flash Player | 28.0.0.137 e versões anteriores | Linux |
Exploração da vulnerabilidade:
A exploração bem-sucedida pode permitir que um invasor assuma o controle do sistema afetado. Trata-se de uma vulnerabilidade use-after-free, que ocorre devido a um dangling point e no SDK do Primetime relacionado ao manuseio de objetos por media player. Portanto, um ataque bem-sucedido pode levar à execução arbitrária de código.
Reportado por: KrCERT/CC
Detalhes da vulnerabilidade:
Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Número CVE |
Uso posterior gratuito | Execução de código remota | Crítico | CVE-2018-4878 |
Skype - CVE-2019-1029 | Vulnerabilidade de negação de serviço do Skype for Business e Lync Server
Exploração da vulnerabilidade:
Existe uma vulnerabilidade de negação de serviço no Skype for Business. Um invasor que explorar com êxito a vulnerabilidade pode fazer com que o Skype for Business pare de responder.
Observe que a negação de serviço não permitiria que um invasor executasse código ou elevasse os direitos de usuário do invasor. Para explorar a vulnerabilidade, um invasor precisa obter um link de discagem para um servidor vulnerável e, em seguida, inicia uma série de chamadas em um curto período de tempo, corrigindo a maneira como o servidor do Skype for Business lida com objetos na memória, conforme Microsoft (2019).
Avaliação da exploração:
A tabela a seguir fornece uma avaliação da capacidade de exploração dessa vulnerabilidade:
Divulgado publicamente | Explorada | Versão mais recente do software | Versão de software mais antiga | Negação de serviço |
Não | Não | 2-Exploração menos provável | 2-Exploração menos provável | Permanente |
As consequências poderão ser:
- Impacto na disponibilidade: há um desligamento total do recurso afetado. O invasor pode tornar o recurso completamente indisponível;
- Complexidade de acesso: as condições de acesso são um pouco especializadas. Algumas pré-condições devem ser satisfeitas para serem exploradas.
Versões afetadas, segundo CVE Details (2019):
Product Type | Vendor | Product | Version |
Application | Microsoft | Lync Server | 2010 |
Application | Microsoft | Lync Server | 2013 |
Diante disto, resta claro que as vulnerabilidades a que a grande massa está sujeita são latentes, apesar da falsa impressão de segurança e de que os perigos ocorrem apenas com grandes corporações. Esse fato reforça a importância das medidas de segurança da informação e privacidade e proteção de dados pessoais a todos os níveis de operação ou utilização.
Fonte: Adobe, CVE Details, The Intercept, Microsoft, Talos Intelligence, Zoom