Skip to content
All posts

ENTENDIENDO EL ENFOQUE DE SEGURIDAD UCC DE LOGMEIN

LogMeIn construye soluciones de colaboración, como GoToMeeting, GoToWebinar, GoToConnect, Jive y join.me, con la seguridad y la privacidad como principios básicos de diseño. Desde nuestro código y arquitectura de sistema, hasta nuestro alojamiento y nuestra infraestructura en la nube, hasta nuestros sitios y ubicaciones de desarrollo seguro, desarrollamos y probamos nuestros productos para ofrecer el más alto nivel de confidencialidad, integridad y disponibilidad. Nuestras soluciones no solo "funcionan", sino que lo hacen de manera segura y confiable, para decenas de millones de usuarios en todo el mundo cada mes.

LogMeIn

 

A principios de esta semana,  Jonathan Leitschuh , un ingeniero de software e investigador de seguridad de Gradle Inc., publicó un informe de seguridad ( CVE-2019-13450 ) que detalla las vulnerabilidades de seguridad en el producto de la reunión de Zoom y la respuesta lenta de la compañía a los informes iniciales de este grave problema. El liderazgo de esta empresa también ha afirmado que otros proveedores de software en la industria exponen a sus usuarios a la misma vulnerabilidad. 

 Para que quede perfectamente claro, LogMeIn y nuestros productos para reuniones, incluidos GoToMeeting, GoToWebinar, GoToTraining, GoToConnect y join.me, no tienen este defecto de diseño de seguridad. Esta falla no es, y nunca ha sido, parte de nuestros productos.

 

Sin embargo, es útil comprender el informe en sí y por qué el enfoque ha causado tal preocupación. La raíz del problema es un servidor web que se instala como parte del cliente Mac nativo de Zoom para permitirle iniciar la aplicación Zoom desde una página web, sin pasar por los controles de seguridad del sistema operativo. Al omitir la seguridad normal basada en el navegador, este servidor web puede usarse para activar / activar la cámara del usuario (y potencialmente ejecutar otro código dañino en la máquina del usuario). Peor aún, cuando se desinstala el cliente, este servidor web activo se queda en la máquina.

LogMeIn también ofrece un inicio de reuniones simple desde un navegador web, pero lo hace de una manera mucho más segura, utilizando los controladores URI. Como Jonathan escribe en su informe:  "Metodologías alternativas como el registro de controladores URI personalizados (por ejemplo, un controlador URI xxxx: //) con los navegadores es una solución más segura. Cuando se activan estos controladores de URI, el navegador solicita explícitamente al usuario que confirme la apertura de la aplicación ". Así es exactamente como manejamos nuestro lanzamiento de una aplicación LogMeIn ya instalada, como GoToMeeting y nuestros otros productos de colaboración.

Esta postura de seguridad evita eludir los controles de seguridad del sistema operativo o del navegador. Adoptamos una postura similar hacia la privacidad con cosas como el video (no habilitamos el video por defecto) y  siempre ofrecemos desinstalaciones limpias.

 Además, ofrecemos el  cliente web para nuestros productos que se pueden utilizar en escenarios donde la descarga de una aplicación no es una opción o es restringida de seguridad.

LogMeIn, con productos como GoToMeeting, join.me y más, ha sido durante mucho tiempo el líder en reuniones profesionales seguras para millones de usuarios. Ya sea en el cifrado por cable, las imágenes de software firmadas, el acceso basado en roles, la seguridad operativa o el cumplimiento de SOC2 y otros regímenes. 

Para obtener más información,  descargue nuestro documento técnico de seguridad  que describe nuestro enfoque de confidencialidad, integridad y disponibilidad o visite el Centro de confianza de LogMeIn.