Esta vulnerabilidad permitía a los ciberdelincuentes generar y verificar de manera sencilla los ID de las reuniones de esta aplicación para dirigirse a las víctimas. De esta forma, un cibercriminal podría espiar las conversaciones que se mantienen a través de este servicio y tener acceso a todos los archivos que se compartan durante la reunión.
Cómo funciona la vulnerabilidad de Zoom
Según ha explicado Check Point, los identificadores de reuniones de Zoom son puntos de acceso para los participantes que se reúnen a través de la aplicación. Normalmente, los números de identificación están formados por cifras de entre 9 y 11 dígitos y suelen estar incluidos en la URL.
Sin embargo, la vulnerabilidad permitía que un ciberdelincuente generase previamente una larga lista de IDs de reuniones de Zoom para después utilizar técnicas de automatización para verificar si eran validos y, tras ello, entrar en reuniones de Zoom que no estuvieran protegidas por contraseña.
Zoom y Check Point han colaborado para resolver y parchear los fallos de seguridad descubiertos y la aplicación ha incorporado una serie de nuevas características y funcionalidades para resolver los problemas, entre los que se encuentran contraseñas por defecto en todas las reuniones programadas, permisos para que los usuarios añadan contraseñas, cambios en la validación del ID de la reunión y bloqueadores de dispositivos.
Si (
No(
