As Notícias.
Nas últimas semanas, o Zoom tem sido motivo de inúmeras notícias na mídia, apontando vulnerabilidades do aplicativo e informando que algumas empresas e instituições deixariam de usá-lo.
Mas, o que os usuários da plataforma precisam efetivamente fazer para lidar com estas vulnerabilidades? A seguir, analisaremos os principais pontos e os cuidados que devemos tomar para garantir a segurança das nossas reuniões.
As Vulnerabilidades.
São 7 as principais vulnerabilidades apontadas no aplicativo. A maioria delas, de fato, existe. Mas, no nosso dia-a-dia, nem todas têm a gravidade que lhes é atribuída.
1. Possibilidade de descoberta de IDs de reuniões e Zoom Bombing
O convite para qualquer reunião agendada no Zoom tem um código de 9 a 11 caracteres. No último mês de janeiro, o Zoom foi informado de que era possível, usando um gerador de números aleatórios, descobrir quais códigos de reuniões eram válidos – ou seja, quais se referiam a reuniões ativas na ferramenta. A partir destes números, usuários que geram distúrbios na internet (conhecidos como trolls) invadiam estas reuniões e usavam o compartilhamento de tela para divulgar material pornográfico ou faziam uso do microfone para se manifestar sobre alguma causa (a mais comum era uma apologia ao nazismo). Ainda em janeiro, a empresa fez ajustes para impedir que os geradores aleatórios identificassem quais reuniões estavam ativas e, com isso, tornou-se praticamente impossível que os trolls as descobrissem.
Recentemente, este problema voltou a ocorrer. Desta vez, porém, a causa era mau uso. Inadvertidamente, as pessoas estavam postando os endereços das reuniões em locais públicos – por exemplo, em redes sociais. Deste modo, com uma busca na internet, os trolls voltaram a ter acesso a uma lista de reuniões ativas – informadas pelos próprios organizadores das reuniões – e, assim, puderam voltar a causar distúrbios.
2. Vazamento de dados para o Facebook
A equipe do Zoom estava desenvolvendo uma melhoria no aplicativo usado na plataforma iOS (usada no iPhone e no iPad) para permitir a autenticação dos usuários usando as credenciais do Facebook. Para isso, foi usado um kit de desenvolvimento (chamado SDK), desenvolvido pelo próprio Facebook. Aparentemente, os desenvolvedores do Zoom não se atentaram para o fato de que esse SDK transmitia, automaticamente, informações como versão do sistema operacional, espaço disponível em memória e dados de localização para o Facebook, mesmo que o usuário não tivesse conta na rede social. Embora não transmitisse dados como nome do usuário, senha, números de telefone ou dados do perfil, esta falha foi vista como uma invasão de privacidade. Após o alerta, o SDK foi retirado do código e a vulnerabilidade foi corrigida.
3. Encriptação fim-a-fim
Talvez a vulnerabilidade mais polêmica, este ponto representa uma falha grave de transparência. O Zoom informava em sua página que trabalhava com criptografia fim-a-fim, ou seja, os arquivos só apareciam sem criptografia para os participantes da reunião e ninguém mais teria a possibilidade de acessá-los. Dentre os aplicativos de nosso uso cotidiano, o WhatsApp tem esta funcionalidade.
Descobriu-se, porém, que a criptografia fim-a-fim está implementada apenas no chat. No vídeo, está implementada uma criptografia de transporte: o vídeo aparece descritptografado para os participantes, mas a empresa (Zoom Inc) também tem a chave para descriptografá-lo. Ou seja, não funciona como o WhatsApp, funciona como um site de banco: a comunicação é criptografada do emissor até o servidor central e, de lá, é criptografada até o destinatário. Se o servidor central for comprometido, é possível acessar o áudio e o vídeo das reuniões. Além disso, o algoritmo usado na criptografia, embora robusto, não é o mais forte disponível – como também era anunciado pela empresa.
No momento, é pouco provável que se consiga comprometer a segurança dos servidores da Zoom Inc. para acessar as reuniões. Entretanto, há uma ameaça de que, através de ordens judiciais, governos e órgãos de investigação possam “grampear” as reuniões, uma vez que estas podem ser decriptografadas nos servidores centrais. Este ponto, porém, só representa um risco para os envolvidos em assuntos que possam ser objeto de investigação criminal, que sejam questões de Estado ou, em países menos democráticos, que representem alguma oposição aos governantes. Para estes casos, o Zoom, definitivamente, não é uma ferramenta adequada.
4. Caminhos de arquivos e links maliciosos
Havia uma vulnerabilidade que permitia que, em um chat do Zoom, fossem trocados arquivos e links para pastas de rede. Por conta disso, uma pessoa não autorizada que conseguisse acesso a uma reunião poderia passar arquivos infectados aos participantes ou, em situação oposta, ter acesso às credenciais (usuário e senha) de participantes que enviassem arquivos a eles.
Apesar de possível, a exploração desta vulnerabilidade é muito difícil, pois exigia que o criminoso conseguisse um acesso não autorizado à reunião antes de agir. Independente disso, porém, o Zoom desabilitou há poucos dias a possibilidade de troca de arquivos usando o chat, o que elimina esta vulnerabilidade.
5. Instalação no OSX
Esta é uma vulnerabilidade que, a rigor, não deveria ser classificada como tal. O instalador do Zoom para o OSX (sistema usado nos computadores da Apple), para facilidade de uso, não apresenta a mensagem “o Zoom precisa de sua senha para atualizar a aplicação”. Ao invés disso, apresenta a mensagem “o sistema exige privilégio para alteração”. Essa mensagem faz com que se pareça com um vírus e, por isso, caso um hacker envie um código malicioso tentando se passar pelo instalador do Zoom, seria difícil para um usuário perceber a diferença.
Além disso, versões mais antigas do instalador usavam um componente que introduzia uma vulnerabilidade nos computadores, aumentando o risco de que fosse atacado por alguém mal intencionado.
Ambas as falhas – a mensagem e o componente – já foram corrigidos e, hoje, não há mais este problema.
6. Uso de servidores na China
Para garantir a qualidade das reuniões, o Zoom usa uma série de servidores espalhados pelo mundo. Alguns destes servidores estão localizados na China. Este ponto, somado aos fatos de que inexiste a criptografia fim-a-fim e de que o algoritmo de criptografia não é o mais forte existente, deram margem à desconfiança de que o governo Chinês pudesse ter acesso ao conteúdo das reuniões.
A partir do próximo dia 18 de abril, o Zoom dará aos usuários corporativos a possibilidade de escolher em quais regiões estarão os servidores em que seus dados serão tratados. Com isso, todos aqueles que não se sentirem confortáveis em ter seus dados processados em uma determinada região, poderão configurar o aplicativo para excluir esta região.
7. Vazamento de senhas
A notícia mais recente informa que 500 mil contas de usuários do Zoom estariam à venda em sites na deep web (uma parte da internet que não é encontrada pelos mecanismos de busca e onde, em geral, estão sites dedicados a ações criminosas e conteúdo ilegal) por alguns centavos de dólar.
Até o momento, ainda não se sabe se os dados vazaram da base do Zoom ou se, a partir de outras bases já vazadas, hackers testaram os usuários e senhas para ver quais estavam ativos na base do Zoom. E, sem esta informação, não é possível saber se, de fato, houve uma falha de segurança.
Preventivamente, porém, é recomendável que todos troquem a senha de seu registro no Zoom e, caso esta senha seja a mesma de seu e-mail ou rede social, que seja trocada também nos outros serviços.
Como tudo isto nos afeta.
Todos os aplicativos que usamos em nosso cotidiano, tanto no trabalho quanto fora dele, apresentam algum tipo de vulnerabilidade. As vulnerabilidades são consequências diretas da complexidade dos códigos e do grande número de funcionalidades. Fazendo uma analogia, quanto mais itens de valor uma pessoa possui, mais difícil é sua proteção. Proteger um colar de diamantes é infinitamente mais fácil do que proteger a mina de onde se extraem os diamantes.
Na prática, porém, algumas ações bastante simples, disponíveis na própria ferramenta, podem garantir a segurança de nossas reuniões.
Medidas de proteção.
Trazemos aqui uma lista de 7 medidas que protegerão nossas reuniões contra invasões e contra vazamentos.
1. Proteja suas reuniões com senha
Um jeito simples de evitar convidados indesejáveis em sua reunião é protegê-la por senha. Há alguns dias, esta tornou-se a configuração padrão do Zoom. Com isso, apenas aqueles que conhecerem a senha poderão entrar na reunião. E, como benefício adicional do uso da senha, o padrão de 9 a 11 caracteres que forma o código da reunião deixa de estar visível no link do convite.
2. Autenticação dos usuários
Usando esta configuração, todos os usuários deverão registrar nome, sobrenome e e-mail antes de entrar na sua reunião. Você saberá quem são e poderá identificar alguém que não tenha sido convidado.
3. Entrar antes do anfitrião
Há uma opção no Zoom que permite que os convidados entrem em uma reunião antes do anfitrião (o host). Esta opção vem desmarcada na criação de uma nova reunião e assim deve permanecer, pois cabe ao anfitrião checar as identidades dos convidados antes do início da reunião.
4. Tranque sua reunião
Após o ingresso de todos os participantes, o Zoom dá a opção ao anfitrião de “trancar”a sala. Uma vez que isso seja feito, ninguém mais pode se conectar àquela reunião, mesmo que tenha o link.
5. Restrinja o compartilhamento de tela
Se apenas uma pessoa vai apresentar algum conteúdo na reunião (ou se ninguém tem uma apresentação a fazer), o compartilhamento de tela pode ser limitado ao anfitrião. Assim, em caso de invasão, será impossível que o invasor nos apresente alguma imagem.
6. Use a sala de espera
Recentemente, a sala de espera tornou-se uma configuração padrão do Zoom – e recomendamos fortemente que não seja desabilitada sem um bom motivo.
Trata-se de um recurso que deixa todos os convidados em uma lista de espera, aguardando que o anfitrião autorize sua conexão. Assim, podemos conferir os nomes dos convidados antes de permitir que entrem em nossa reunião, do mesmo modo como fazemos quando um visitante bate em nossa porta.
7. Busque por atualizações
Por todas as notícias veiculadas na mídia e por todas as falhas apontadas, o Zoom tem feito um grande esforço de correção e, somente nos últimos dias, várias atualizações foram lançadas. Busque-as e atualize seu aplicativo, para garantir que você não seguirá exposto a vulnerabilidades que já foram sanadas.
Todas as vezes que encerramos uma reunião, o aplicativo busca por atualizações. Se ele encontrar alguma, deixe que seja atualizado. Estes poucos minutos investidos na atualização significam grandes ganhos de segurança para seus dados. Atualizar aplicativos deve se tornar um hábito, não apenas para o Zoom, mas para qualquer outro software que esteja em nosso computador, tablet ou celular.
____________________
Rafael Batista
Sócio-Diretor da IT Secure
