Brechas no Zoom são desvendadas na medida em que seu uso aumenta pelo mundo

A pressão aumenta à medida que o Zoom corre o risco de se tornar vítima de seu próprio sucesso.
O zoom explodiu em popularidade à medida que as pessoas recorrem ao software de videochamada em meio à pandemia de coronavírus em andamento. O momento de grande crescimento levou o Zoom ao topo das lojas de aplicativos para iOS e Android, à medida que as pessoas se reúnem para aulas de ioga, aulas escolares e noites virtuais. Até o governo do Reino Unido realiza reuniões diárias de gabinete sobre o Zoom.
Com toda essa atenção extra, o Zoom agora enfrenta uma enorme reação de privacidade e segurança, já que especialistas em segurança, advogados de privacidade, legisladores e até o FBI alertam que as configurações padrão do Zoom não são suficientemente seguras. O zoom agora corre o risco de se tornar vítima de seu próprio sucesso.
O Zoom já enfrentou problemas de segurança e privacidade antes. A Apple foi forçada a intervir e remover silenciosamente o software Zoom dos Macs no ano passado, após uma séria vulnerabilidade de segurança que permitiu que os sites sequestrassem câmeras Mac. Nas últimas semanas, o exame das práticas de segurança de Zoom se intensificou, com grande parte da preocupação focada em suas configurações padrão e nos mecanismos que tornam o aplicativo tão fácil de usar.
Cada chamada de Zoom tem um número de ID gerado aleatoriamente entre 9 e 11 dígitos, que é usado pelos participantes para obter acesso a uma reunião. Os pesquisadores descobriram que essas identificações de reuniões são fáceis de adivinhar e até brutais, permitindo que qualquer pessoa entre nas reuniões.
Parte dessa facilidade de uso levou ao fenômeno “Zoombombing”, onde brincalhões participam de chamadas do Zoom e transmitem vídeos pornográficos ou de choque. A culpa é das configurações padrão do Zoom, que não incentivam que uma senha seja definida para as reuniões e permitem que qualquer participante compartilhe sua tela. O Zoom ajustou essas configurações padrão para contas educacionais na semana passada, “em um esforço para aumentar a segurança e a privacidade das reuniões”. Para todos os outros, você precisará ajustar as configurações de zoom para garantir que isso nunca aconteça.
O Zoombombing foi o primeiro de muitos problemas recentes de segurança e privacidade do Zoom. O Zoom foi forçado a atualizar seu aplicativo iOS na semana passada para remover o código que enviou os dados do dispositivo para o Facebook. O Zoom teve que reescrever partes de sua política de privacidade depois que foi descoberto que os usuários eram suscetíveis a que suas informações pessoais fossem usadas para segmentar anúncios. As informações do usuário também estão vazando devido a um problema de como o Zoom agrupa os contatos.
Talvez a questão mais condenatória tenha surgido ontem. Embora o Zoom ainda afirme em seu site que você pode “garantir uma reunião com criptografia de ponta a ponta”, a empresa foi forçada a admitir que na verdade são pessoas enganosas. “Não é possível ativar a criptografia E2E para as reuniões de vídeo do Zoom”, disse um porta-voz do Zoom em comunicado ao The Intercept, após a publicação revelar que o Zoom está realmente usando criptografia de transporte em vez de criptografia de ponta a ponta.
Como começar com o Zoom
Os defensores da privacidade também levantaram questões sobre um recurso de rastreamento de participantes que permite que os hosts da reunião controlem se os participantes têm o aplicativo Zoom em exibição em um PC ou se é simplesmente em segundo plano. Um grupo de defesa dos direitos digitais também pediu ao Zoom que divulgasse um relatório de transparência no mês passado, para compartilhar o número de solicitações de autoridades e governos por dados de usuários. Zoom disse apenas que a empresa está considerando a solicitação e ainda não publicou um relatório de transparência.
Pesquisadores de segurança e defensores da privacidade não são os únicos grupos que levantam preocupações sobre o Zoom. O FBI está alertando as escolas sobre os perigos das configurações padrão de Zoom para o Zoombombings, e os relatórios sugerem que o Ministério da Defesa do Reino Unido proibiu o Zoom enquanto investiga “implicações de segurança”. O escritório do procurador-geral de Nova York também enviou uma carta ao Zoom nesta semana solicitando saber “se o Zoom realizou uma revisão mais ampla de suas práticas de segurança” à luz de preocupações recentes.
O Zoom não respondeu em detalhes às preocupações mais recentes, mas na semana passada, Eric S. Yuan, CEO da Zoom, disse que a empresa estava revisando suas práticas em relação aos problemas de privacidade do Facebook. “Lamentamos sinceramente a preocupação que isso causou e permanecemos firmemente comprometidos com a proteção da privacidade de nossos usuários”, disse Yuan. “Estamos revisando nosso processo e protocolos para implementar esses recursos no futuro para garantir que isso não ocorra novamente.”
A Zoom agora está enfrentando ações judiciais que alegam que a empresa está divulgando ilegalmente informações pessoais a terceiros. Dois processos foram iniciados no início desta semana na Califórnia, e um está em busca de danos em nome dos usuários do Zoom por supostas violações da Lei de Privacidade do Consumidor da Califórnia.
À medida que os pesquisadores de segurança e os defensores da privacidade continuam investigando o software e as práticas de Zoom, há sinais de que mais problemas precisarão ser resolvidos. Agora, alguns estão descobrindo como o Zoom funciona em torno das restrições do sistema operacional usando “os mesmos truques que estão sendo usados pelo malware do macOS” para obter seu software nos Macs. “Não é fácil ingressar em uma reunião a partir de um Mac, é por isso que esse método é usado por Zoom e outros”, diz Eric S. Yuan, CEO da Zoom, em uma resposta no Twitter às preocupações. “Seu ponto de vista está bem entendido e continuaremos a melhorar.”
Por fim, o Zoom está sentindo os efeitos de um momento raro para o aplicativo. O aplicativo de videoconferência nunca foi projetado para a miríade de maneiras que os consumidores estão usando agora. O zoom não requer uma conta, é gratuito para reuniões de 40 minutos e é confiável. As barreiras à entrada são tão baixas e a pandemia de coronavírus tão incomum, que o Zoom subitamente está no centro das atenções como uma ferramenta crucial para muitos.
O Zoom pode ser forçado a reforçar as partes do aplicativo que o tornam tão atraente para consumidores e empresas nos próximos meses. A empresa agora enfrenta algumas decisões difíceis sobre como equilibrar melhor suas configurações padrão, privacidade do usuário e, finalmente, sua facilidade de uso. O apelo de Zoom tem sido sua abordagem simples à videoconferência, mas esse ingrediente crucial agora ameaça ser sua ruína, a menos que se controle firmemente as preocupações crescentes.
Os problemas com a justiça
O procurador-geral de Nova York disse que está “preocupado que as práticas de segurança existentes de Zoom possam não ser suficientes para se adaptar ao recente e repentino aumento no volume e na sensibilidade dos dados transmitidos por sua rede”.
Até recentemente, o aplicativo para iPhone de Zoom incluía software que canalizava clandestinamente dados do usuário para o Facebook. O processo diz que o código permitiu ao Facebook segmentar usuários com anúncios.
Zoom foi criticado por ignorar a privacidade antes. Um ano atrás, um pesquisador descobriu que quatro milhões de câmeras de usuário Zoom eram potencialmente vulneráveis à aquisição remota sem que você soubesse.
Atualmente, a empresa está interrompendo todo o desenvolvimento de recursos e “transferindo todos os nossos recursos de engenharia para se concentrar em nossos maiores problemas de confiança, segurança e privacidade”, disse Yuan. Mas para muitos usuários, isso não é bom o suficiente. Eles já perderam a confiança no Zoom e estão procurando alternativas (que identificamos abaixo).
“Apesar de sua facilidade de uso, o Zoom não parece levar a privacidade a sério”, disse Reuben Yap, Zcoin Project Steward. “Apesar das alegações de que as videochamadas do Zoom são criptografadas [de ponta a ponta], esse não é realmente o caso. A criptografia E2E significa que nem o Zoom deve poder visualizar o conteúdo dos vídeos ou das chamadas. ”
“Em vez disso, tudo o que o Zoom fornece é criptografia de transporte, o que significa que ele é protegido na medida em que pessoas de fora não podem interceptar a chamada e visualizá-la. Isso ainda significa que precisamos confiar no Zoom para não ler ou vazar essas informações. Dado seu histórico, não tenho grandes esperanças ”, disse Yap.
Yoav Degani, fundador do MyPrivacy, um aplicativo que agrega ferramentas de proteção à privacidade, como uma VPN e um gerenciador de senhas, disse que existem vários problemas de privacidade e segurança com o Zoom. Como as reuniões podem ser gravadas e carregadas na nuvem, o que não é seguro, as pessoas que não estão na reunião podem obter uma gravação (como seu chefe, por exemplo). Além disso, os organizadores podem receber um arquivo de texto com a transcrição do bate-papo da reunião.
“Também há um recurso disponível para o organizador da reunião chamado rastreamento de atenção dos participantes”, disse Degani. “Ele permite que o host monitore os computadores dos participantes e verifique se alguém não está ativo na chamada de Zoom por mais de 30 segundos.”
Você pode não estar oficialmente ativo se, por exemplo, colocar a janela Zoom em segundo plano e jogar algum jogo ou ler alguma postagem no Facebook.
Degani disse que alguns bandidos estão tirando vantagem da situação e existem dezenas de sites com o nome “Zoom” que, de repente, aparecem nos resultados de pesquisa e publicidade e são usados para phishing.
Bloqueando seu vídeo
Várias pessoas que constroem e desenvolvem ferramentas orientadas à privacidade recomendam o Jitsi como uma alternativa mais segura ao Zoom.
Emil Ivov, um dos fundadores do Jitsi, disse que o que o diferencia de outros serviços de videoconferência é seu baixo atrito. Criar uma reunião é tão simples quanto digitar seu nome e é apenas um clique para participar. A empresa usa o WebRTC, ou Web Realtime Communications, que permite comunicação de vídeo, dados e áudio ponto a ponto entre dois navegadores da web. Portanto, em computadores de mesa não há downloads nem contas, disse Ivov.
“Estamos muito atentos à privacidade e segurança”, disse Ivov. “Não exigimos dados pessoais e apoiamos totalmente o uso anônimo. Nós também somos de código aberto. É aqui que somos verdadeiramente únicos. Se você tiver alguma dúvida sobre como executamos nosso serviço, basta executar o seu! Leva apenas 15 minutos. ”
Ser código aberto também significa que qualquer pessoa pode examinar seu software. Mas o Jitsi não possui criptografia de ponta a ponta.
“Por enquanto isso simplesmente não é possível com o WebRTC, embora toda a comunidade esteja analisando o problema e esperamos que em breve haja soluções”, disse Ivov. “Por enquanto, no entanto, todos os seus dados são criptografados durante o voo usando o DTLS-SRTP [um protocolo que adiciona criptografia e garante a autenticação e a integridade das mensagens] conforme o padrão WebRTC. Nenhum conteúdo de mídia deixa seu computador sem criptografia. ”
Jitsi é uma alternativa mais segura e outra inclui o Whereby. Uma grande desvantagem: os usuários estão limitados a quatro participantes da reunião na versão gratuita. A versão Pro do Whereby custa US $ 9,99 por mês e permite até 12 participantes por sala em até três salas de reunião.
Outras alternativas individuais incluem o Facetime, que possui criptografia de ponta a ponta, assim como o Signal, o aplicativo de mensagens e chamadas com foco na privacidade.
“Os produtos e serviços podem ser construídos para serem convenientes e proteger a privacidade por design no back-end”, diz Raullen Chai, CEO da IoTeX, uma empresa do Vale do Silício que desenvolve dispositivos inteligentes de proteção à privacidade. “Então você não precisa se preocupar se confia ou não em uma parte centralizada, pois ela é construída com o que pode e o que não pode acontecer com seus dados, retornando o controle ao consumidor. A emissão de chave baseada em blockchain permite a verdadeira criptografia de ponta a ponta sem precisar confiar em um provedor central para não manter uma chave para si. ”
Leve tudo isso em conta, e é apenas mais um indicador de que sim, essa reunião provavelmente poderia ser um email. Contanto que seja um enviado com segurança.
Com informações do The Verge