Com a crescente demanda de realização de reuniões por teleconferência, o mundo descobriu o Zoom, aplicativo fácil de usar, multiplataforma tanto para computadores quanto para telefones e outros dispositivos móveis. Tudo ia bem até que especialistas em segurança decobriram falhas graves no serviço. Neste artigo eu explico os riscos apresentados pelo programa e como utilizá-lo de forma razoalvemente segura.
É Seguro ou Não?
Ao contrário dos programas mais seguros de videoconferência, a comunicação do Zoom não possui criptografia ponto a ponto. Isso significa que caso alguma pessoa mal intencionada esteja fazendo um processo chamando sniffing na sua rede ela terá acesso a tudo o que está sendo transmitido. Por conta disso diversos órgãos de governo no mundo todo, incluindo o Brasil, proibiram a utilização desta plataforma. Mas até que ponto isso te atinge?
Aqui temos o primeiro ponto. Se sua reunião irá tratar de assuntos críticos ou, como chamamos no mundo da segurança, informações sensíveis, não utilize o Zoom. Pelo menos até que eles resolvam esse problema! Mas se o assunto não é confidencial, seja uma aula, uma consulta, uma palestra, bem… Nesse caso o problema é menor.
Observe que isso não quer dizer que tudo o que você fala no Zoom será interceptado por marginais, porém o risco existe. Se sua reunião não pode correr o risco de ser interceptada recomendo a utilização de plataformas que trabalham com alta segurança como:
– Microsoft Teams
– Google Hangouts
– Cisco Webex
– Google Duo
– Apple FaceTime
No período em que o mundo enfrenta a ameaça do novo coronavírus SARS-CoV-2, tanto Microsoft quanto Cisco estão liberando grauitamente suas ferramentas. O Google Hangouts já é gratuito por natureza.
As Más Notícias
O The Guardian faz uma chamada bem contundente com o título: “Zoom é um malware: Porque os especialistas estão preocupados com a plataforma de videoconferência”. Ainda no artigo eles citam o Zoom como “um desastre para a privacidade” e “fundamentalmente corrupto”. Em sua defesa, o porta-voz da Zoom disse que eles estavam planejando se enquadrar nos padrões de segurança e mais, “Zoom leva a privacidade e segurança de seus usuários com muita seriedade. Durante a pandemia de Covid-19 nós estamos trabalhando contra o relógio para garantir que hospitais, universidade, escolas e outros negócios ao redor do mundo estejam conectados e operacionais”.
Zoom é um malware: Porque os especialistas estão preocupados com a plataforma de videoconferência
The Guardian
Tudo isso iniciado pela advogada geral de Nova Iorque, Letitia James, que enviou carta para a empresa pedindo que eles listassem as medidas que estão tomando para resolver a preocupação com a segurança e acomodar o crescimento do número de usuários. Na carta ela dizia que a Zoom está lenta para resolver as vulnerabilidades de segurança que permitiriam, entre outras coisas, acesso não autorizado às câmeras dos computadores.
Fiz um apanhado dos problemas atribuídos ao Zoom e a forma de minimizar o impacto ou até mesmo contorná-los. Fazendo os devidos procedimentos e tomando as devidas precauções a coisa não é tão feia quanto parece.
Instalação e Malwares (vírus)
O primeiro ponto que causa preocupação aos especialistas está no próprio processo de instalação do Zoom. Como o programa ficou muito famoso diversos sites estão disponibilizando pacotes de instalação do mesmo. Acontece que grande parte desses pacotes, ao instalarem o Zoom, instalam junto outros programas indesejáveis dos mais variados tipos, desde aqueles que invadem seu computador e roubam todas as suas informações até aqueles menos perigosos que apenas utilizam seu computador para fazer processamento paralelo de criptomoedas ou envio de e-mails.
Evitar esse problema é muito simples! Nunca instale o Zoom ou qualquer outro programa a partir de sites que não sejam o do próprio fabricante. No caso do Zoom:
Zoom Bombing
O ponto alto do programa e talvez principal motivo do seu sucesso é a facilidade de uso. Da mesma forma essa facilidade pode ser um grande problema. Como é muito fácil entrar em uma reunião, pessoas mal intencionadas invadem essas reuniões com propósitos que vão desde simplesmente perturbar até a espionagem do conteúdo que lá está sendo falado.
Isso se deve ao fato de os convites serem baseados em URLs que contém um número de 9 dígitos. O criminoso pode ficar tentando números aleatoriamente até achar um que seja válido, e então invadir uma reunião.
Existem algumas maneiras de se proteger desse tipo de ataque. A primeira e mais óbvia é tomar cuidado com quem você compartilha esse código numérico. Publicar em uma rede social, por exemplo, é uma péssima ideia! Tenha em mente que os contatos que você adiciona no Zoom tem acesso ao seu ID pessoal de reuniões. Em posse dessa informação o atacante poderá invadir todas as reuniões futuras que você planejar.
Quando você lança ou planeja uma reunião, o painel de opções te dá a opção de gerar um ID aleatório no lugar de usar seu próprio ID. Dessa forma você protege seu ID pessoal contra eventuais atacantes que entrem na reunião. Caso a reunião seja apenas entre pessoas conhecidas talvez seja melhor não passar pela inconveniência de gerar o ID aleatório.
Uma outra opção de proteger uma reunão é criando uma senha. Essa opção está disponível no painel de opções na hora de criar ou agendar uma reunião. Novamente, tenha cuidado com quem você irá compartilhar essa senha.
Finalmente, se você for em Opções Avançadas ao criar uma reunião você verá a opção “habilitar sala de espera”. Dessa forma as pessoas que tentarem acessar sua reunião ficarão em uma sala de espera e você terá que autorizar manualmente a entrada de cada pessoa. Porém o Citizen Lab descobriu uma falha de segurança séria com as salas de espera. Segundo o laboratório os usuários não devem utilizar este recurso mas sim a proteção por senha. Até o momento em que este artigo foi escrito a Zoom não havia se pronunciado sobre isso.
Atualização em 08/04/2020:
O aplicativo agora deixa ativado tanto a proteção por senha quanto a sala de espera por padrão. Da mesma forma já fica desativado por padrão a exibição de sua identificação pessoal. Com isso, todas as dicas de segurança passadas nesse tópico já estão implementadas sem necessidade de qualquer intevenção do usuário.
Caso a reunião seja aberta a público externo também pode ser útil evitar que os participantes tenham o poder de compartilhar o conteúdo de tela de seus computadores, evitando assim que qualquer conteúdo indevido seja exibido para o grupo. Para tal, abra o website do Zoom, faça o login em sua conta e vá em “Minha Conta”, “Configurações” e vá rolando até “Compartilhamento de Tela”. Lá você vai encontrar “Quem pode compartilhar?”, e então marque “Apenas anfitrião”, e logo abaixo ative “Desabilitar o compartilhamento de área de trabalho/tela para os usuários.
Uma outra forma de se proteger contra o ataque Zoom Bombing é evitar que novos participantes possam entrar na reunião depois que ela foi iniciada, ou seja, trancar a porta para que os atrasados não possam mais entrar. Para tal, siga os passos abaixo:
Fazendo isso ninguém mais poderá entrar na reunião. Caso precise liberar o acesso para alguém que chegou atrasado basta fazer o mesmo procedimento novamente.
Criptografia Ponta a Ponta
Um relatório do Intercept apontou que apesar de o Zoom dizer que utiliza criptografia ponta a ponta, isso não é verdade. A empresa confirmou que a encriptação ponta a ponta verdadeiramente não é possível na plataforma e “pediram desculpas” pela confusão que isso gerou ao sugerir que o recurso existia.
Web Server Escondido, Invasão da Câmera e Microfone no Mac
Em 2019 foi revelado que ele instalava um servidor web escondido no dispositivo do usuário, o que permitia que alguém pudesse entrar numa reunião sem permissão do organizador. Recentemente foi descoberta mais uma falha que possibilita um criminoso ativar a câmera e o microfone do seu computador Mac. Para complicar ainda mais, este web server continuava instalado no computador mesmo depois que o programa fosse desinstalado, podendo até mesmo fazer a reinstalação do Zoom sem consentimento do usuário.
Vamos ser diretos, Zoom é um malware.
Arvind Narayanan – Cientista da Computação, Princeton University
A empresa já lançou uma correção para evitar esse problema porém, para o cientista da computação Arvind Narayanan, da universidade de Princeton as falhas já reportadas fazem deste programa uma grande ameaça. Ele conclui: “vamos ser diretos, Zoom é um malware”.
A Zoom diz que adotou essa medida para contornar problemas de falha de engenharia no Safari, navegador internet padrão dos computadores Mac.
A Apple, por sua vez, lançou uma correção escondida que faz a remoção do webserver instalado pelo Zoom mesmo que o usuário não faça a atualização do programa. Sendo assim, no momento este problema pode ser considerado como resolvido. Lembrando que essa falha atingia apenas os computadores da Apple.
Caso você esteja em dúvida e queira verificar se o web server da Zoom está rodando escondido em seu computador, abra o terminal e digite o seguinte comando:
lsof -i :19421Caso, na resposta do comando, apareça o processo “ZoomOpene” é porque o web server está presente em seu computador:
Para removê-lo, ainda no terminal digite os seguintes comandos:
pkill ZoomOpener
rm -rf ~/.zoomusEm caso de desconfiança sempre opte por executar a versão web do programa, aquele que você acessa diretamente pelo seu navegador da Internet. Neste contexto é mais difícil que algo escondido aconteça em seu computador.
Medidas de Vigilância
O Zoom já foi criticado pelo seu recurso “attention tracking”, que monitora se o usuário clicou em outro programa durante a reunião, ou seja, se distraiu da reunião por mais de 30 segundos. A empresa diz que já desativou tal recurso.
Conversas Privadas
O Zoom permite gravar toda a reunião, inclusive as conversas públicas e privadas que foram feitas nas área de chat. Acontece que qualquer pessoa que tenha acesso a estas gravações terá acesso a todo o conteúdo desses chats. Então tenha sempre em mente que você nunca dele falar sobre um assunto que não pode ser de conhecimento de todos os participantes da reunião.
Venda de Dados dos Usuários
Um relatório da Motherboard dizia que o Zoom envia dados dos usuários da versão iOS do aplicativo para o Facebook com o propósito de geração de propaganda, ainda que o usuário não tenha conta naquela rede social. A empresa respondeu que nunca enviou ou enviará dados de seus usuários para terceiros, porém a história da Motherboard foi citada em um processo ocorrido na corte federal, na Califórnia, acusando a Zoom de falhar em proteger adequadamente as informações pessoais de seus usuários.
Essa falha de segurança também foi mencionada por Letitia James (citada no início desse artigo) na carta enviada para a empresa.
Vazamento com Linkedin
Outro recurso do programa que também foi taxado como falha de segurança é o Linkedin Sales Navigator. Esta função acessa os perfis de todos os participantes da reunião que possuem conta naquela rede social. Com isso todos os participantes da reunião conseguiam acesso fácil ao perfil do Linkedin de todos os outros participantes.
Em minha opinião isso deveria ser visto apenas como um recurso facilitador do programa, porém o que lhe dá a característica de falha de segurança é o fato do seu perfil do Linkedin ficar exposto mesmo contra a sua vontade. O programa faz o vínculo com a rede social a partir do seu e-mail de forma compulsória.
No momento o CEO da Zoom declarou que iria desativar esta função por 90 dias enquanto corrigem outros problemas de segurança.
Correção das Falhas
No dia 1 de abril de 2020 o CEO e fundador da Zoom, Eric S. Yuan, concordou que o número de problemas de segurança era grande e disse que determinou à equipe de desenvolvimento que parasse os trabalhos normais e focassem somente na solução dos problemas de segurança. Em suas palavras:
“Nós reconhecemos que falhamos com as expectativas de segurança e privacidade da comunicade, e de nós mesmos. Nós agora temos um número de usuários com vários perfis diferentes que estão utilizando nosso produto em uma miríade de formas não esperadas, nos trazendo desafios que não foram antecipados quando a plataforma foi concebida. Esses novos casos de usuários mais comuns nos ajudaram a descobrir falhas não previstas em nossa plataforma. Jornalistas dedicados e pesquisadores da área de segurança também nos ajudaram a identificar algumas falhas pré-existentes.”
Bibliografia
Este artigo foi baseado em textos publicados nos seguinte artigos:
Tom’s Guide – Lista com todas as falhas de segurança do Zoom já corrigidas e as que ainda estão me aberto.
Wired – Como manter as conversas no Zoom privadase seguras.
The Guardian – Zoom é um malware.
The Verge – Apple está removendo em silêncio o programa web server da Zoom nos Macs.
ZDNet – Zoom defende o uso de web server local em Macs depois do relatório de segurança.
How-To Geek – Como verificar se o Zoom está rodando um web server escondido em seu computador Mac (e como removê-lo).
Muito bom, porém me assustei quando vi o nome Chris no bash, mas lembrei que meu mac é outro.
Parabéns pelo conteúdo.
😉