Citizen Lab dijo además haber encontrado un fallo no parcheado en la función de salas de espera de Zoom y haberlo reportado a la empresa. El informe del grupo se produce tras la decisión de Zoom la semana pasada de congelar el conjunto de características actuales de la aplicación y dedicar los próximos 90 días a trabajar exclusivamente en “cuestiones de fiabilidad, seguridad y privacidad”.
Citizen Lab, adscrito a la Universidad de Toronto, dijo que Zoom parece utilizar una extensión adaptada al estándar del Protocolo de Transporte en Tiempo Real (RTP), que incluye el propio esquema de cifrado de la empresa.
El mecanismo implica el uso de una única clave AES-128 generada por los servidores de Zoom y compartida entre los participantes para la encriptación y desencriptación del audio y el vídeo de la llamada, dijeron los investigadores.
El cifrado y desencriptación de Zoom utiliza el Estándar de Cifrado Avanzado (AES) en el modo ECB, que según los investigadores es considerado “una mala idea” ya que los parámetros de la fuente siguen siendo detectables. El laboratorio criticó a la empresa por haber hecho “afirmaciones potencialmente engañosas y conflictivas” en relación con su sistema de cifrado, cuyos detalles afirmó nunca han sido aclarados por la empresa.
Los investigadores también encontraron que en las llamadas de prueba la clave AES-128 fue enviada a los participantes desde un servidor de Zoom aparentemente ubicado en Beijing.
“Una empresa que atiende principalmente a clientes norteamericanos y que a veces distribuye claves de cifrado a través de servidores en China es potencialmente preocupante, dado que Zoom puede estar legalmente obligada a revelar estas claves a las autoridades en China”, dijo The Citizen Lab en su estudio.
Zoom Video Communications, que tiene su sede en Silicon Valley y cotiza en Nasdaq, fue fundada por Eric Yuan, nacido en China, y emplea al menos a 700 personas en China para desarrollar el software de Zoom. Según Citizen Lab, esta particularidad “puede hacer que Zoom tenga que responder a la presión de las autoridades chinas”.
El tema no habría tenido la misma relevancia hace unas semanas, pero el uso de aplicaciones de teleconferencia, y Zoom en particular, se ha disparado en medio de la crisis del coronavirus. Zoom afirmó haber contabilizado más de 200 millones de comunicaciones diarias en marzo, comparado con el máximo anterior de 10 millones, según informó la empresa la semana pasada.
El software Team de Microsoft también ha registrado un aumento significativo en el tráfico, mientras que Webex de Cisco recibió 324 millones de participantes en marzo, con un crecimiento del uso de 2,5 veces en las Américas, cuatro veces en Europa y 3,5 veces en Asia-Pacífico, según informó Cisco la semana pasada.
Con las confidenciales conversaciones gubernamentales y empresariales que se están llevando a cabo en este tipo de plataformas, la situación ha creado una “potencial mina de oro para los ciberespías”, dijo The Citizen Lab.
Citizen Lab afirmó que al margen que Zoom sea extremadamente fácil de usar, “la implementación de seguridad de llamadas en Zoom puede no coincidir con su excepcional facilidad de uso”, y aconsejó a los gobiernos, empresas, proveedores de salud y otros a no utilizarlo para discutir material confidencial.
Con todo, los investigadores dijeron que Zoom presenta pocos riesgos de seguridad para quienes busquen mantenerse en contacto con amigos, celebrar eventos sociales u organizar cursos o conferencias. “Zoom ha cometido el clásico error de diseñar e implementar su propio esquema de cifrado, en lugar de utilizar uno de los estándares existentes para cifrar el contenido de voz y vídeo”, dijo el investigador de The Citizen Lab Bill Marczak.
“Por supuesto, la encriptación de Zoom es mejor que cero encriptación, pero los usuarios que esperan que sus reuniones de Zoom estén a salvo del espionaje deberían pensárselo dos veces antes de usar la aplicación para discutir información sensible”.