Será que é tão inseguro assim usar o Zoom?

O isolamento social, necessário para reduzir a velocidade de propagação do Coronavírus, está aumentando a velocidade de adoção de tecnologias de comunicação remota. Para termos uma ideia desta evolução, o número máximo de participantes diários em reuniões feitas através do Zoom em dezembro de 2019 era de 10 milhões. Em março de 2020, este número subiu para 200 milhões.

As vulnerabilidades recentemente reveladas e as preocupações com privacidade em torno do Zoom têm nos levantado o questionamento: é seguro usar o Zoom? A resposta simples e direta para esta pergunta é: sim, desde que você esteja tomando os cuidados necessários.

Para que você entenda quais são as principais ameaças e os cuidados que deve tomar para o uso seguro da plataforma, confira a lista a seguir.

Zoom-bombing Este é o nome dado a situações nas quais pessoas não convidadas entram nas reuniões para atrapalhar de alguma forma: desde insultos verbais ao compartilhamento de tela com vídeos pornográficos para os participantes da reunião.

Cuidados Utilize o controle por senha para ingresso nas reuniões.

Sem ele, a única coisa que impede que alguém entre na sua reunião é descobrir um número com 11 dígitos, que pode ser feito de forma automatizada — e tem sido feito. Para mais informações sobre o assunto, leia aqui [1].

Em alguns casos, pode ocorrer o compartilhamento intencional do ID da reunião com terceiros com o objetivo de provocar o Zoom-boobimg. Nestes casos, até mesmo o controle por senha pode não ser suficiente caso uma vez que a própria senha pode ser compartilhada.

Cuidados adicionais: desabilite a opção de permitir que outras pessoas entrem na reunião antes do organizador e habilite também a sala de espera para validar os participantes que podem ou não ingressar.

Vulnerabilidade no software para Windows — UNC path injection Por meio desta vulnerabilidade, algum participante da reunião poderia compartilhar um link malicioso com os demais. Caso alguém clicasse, o ofensor poderia receber o hash da senha da vítima. O hash é uma representação da senha que pode vir a ser “quebrada” com um determinado esforço ao longo de um determinado tempo a depender da complexidade da senha.

Cuidados A correção para a vulnerabilidade está disponível desde o dia 01 de abril. Atualize seu software para a versão mais recente [2].

Vulnerabilidade no instalador do Zoom para MacOS Duas vulnerabilidades foram encontradas no instalador para Mac OS. A primeira poderia permitir que um ofensor com acesso ao computador pudesse elevar seus privilégios de uma conta comum para a conta de administração do sistema operacional. A segunda, poderia permitir ao ofensor substituir partes do software (bibliotecas) por outras que dessem a ele acesso a câmera e ao microfone.

Cuidados A correção para esta vulnerabilidade também está disponível desde o dia 01 de abril. Atualize seu software para a versão mais recente.

Coleta de dados e problemas de privacidade na versão para iOS Um estudo publicado pela VICE [3] mostrou a versão do Zoom para iOS estava enviando informações do dispositivo para o Facebbok. A empresa confirmou que isto estava acontecendo devido a implementação de autenticação de forma integrada com a rede social. As informações estariam sendo coletadas exatamente pelo módulo do Facebook que faz esta integração.

Uma outra preocupação com privacidade foi levantada em uma publicação do The New York Times [4]. O Zoom fazia uma verificação se o seu usuário também possuía conta no LinkedIn. Esta informação beneficiava os assinantes do serviço LinkedIn Sales Navigator, que já recebiam informações das pessoas com quem estavam conversando, tais como onde trabalham e a posição que ocupava.

Cuidados A integração com o Facebook foi removida no dia 27 de março e a integração com o LinkedIn no dia 01 de abril. Atualize seu software para a versão mais recente. Adicionalmente, a companhia atualizou seus termos de privacidade tornando-os mais claros, explícitos e transparentes.

Eventual fragilidade na proteção (criptografia) da comunicação A forma com que o Zoom faz a criptografia dos dados da comunicação também foi um tema bastante discutido. A empresa utilizava o termo “end-to-end encryption” ao se referir como fazia a segurança dos dados da comunicação. Só para lembrar, “end-to-end encryption” é uma forma de garantir que somente os participantes da comunicação sejam capazes de acessar o conteúdo. Em um artigo publicado no dia 01 de abril [5], a companhia se desculpa por utilizar o termo “end-to-end encryption” de forma incorreta. Informa que o objetivo do uso do termo era informar que aplicavam criptografia na comunicação na maior parte possível dos cenários e que o objetivo nunca foi de enganar seus usuários. A postagem descreve como realiza a criptografia do conteúdo dependendo do cenário. Em resumo: Nas conferências onde todos os integrantes utilizam clientes Zoom e a reunião não está sendo gravada, a criptografia é feita no transmissor da informação e só e decodificada ao chegar nos destinatários. Desta forma, a própria companhia não teria acesso ao conteúdo. No entanto, o Zoom permite integração com outros clientes que não utilizam o protocolo padrão. Isso acontece quando são utilizados telefones tradicionais ou integração via VOIP, por exemplo. Nestas ocasiões, a criptografia é feita na nuvem da empresa.

Cuidados Diante deste cenário, para uma comunicação mais segura, o ideal é que todos os integrantes estejam utilizando o cliente Zoom e que a reunião não esteja sendo gravada.

Considerações Finais Como podemos observar, as preocupações de segurança com o uso do Zoom são semelhantes às necessárias para qualquer outro software. Recomendamos que siga os cuidados apresentados neste artigo e que continue usando de forma segura as tecnologias de comunicação nas suas reuniões de trabalho, aulas, consultas médicas ou conversas com amigos!

Referências

https://morphuslabs.com/%C3%A9-seguro-usar-o-zoom-97b4b9f5d941