1. TugaTech » Internet e Redes » Noticias da Internet e Mercados

Siga-nos

Zoom malware e insegurança

 

Ao longo dos últimos dias têm vindo a surgir várias referencias aos casos de falta de privacidade e segurança associados com a Zoom. Desde o início da pandemia, esta plataforma tem vindo a ser uma das mais utilizadas para realizar chamadas e reuniões virtuais à distância.

 

Passando de aproximadamente 10 milhões de utilizadores em dezembro de 2019 para mais de 200 milhões ativos todos os dias no ultimo mês, a Zoom verificou aumentos de tráfego na ordem dos 535%. Mas também vieram acompanhados de um considerável aumento de queixas contra a plataforma e as suas políticas de privacidade e segurança – incluindo a falta de atenção da empresa em aspetos fundamentais do serviço.

 

A Zoom pode não ter desenhado a sua aplicação para uma utilização massiva como a que se encontra a ocorrer atualmente, sendo focada sobretudo no meio empresarial. Atualmente existem empresas, indivíduos, escolas e uma infinidade de utilizadores que diariamente realizam chamadas pelo serviço – o que atrai também algumas críticas sobre falhas que foram sendo reveladas no serviço base que a Zoom fornece.

 

Uma longa lista de problemas...

 

Nos últimos dias existem meios de comunicação que consideram a Zoom como “malware”, com destaque para um recente artigo publicado no The Guardian. No entanto, a Zoom não é propriamente “malware”, mas sim uma plataforma cheia de falhas de segurança e problemas que sempre estiveram ativas – mas apenas agora começam a chamar à atenção.

 

Eis uma lista de algumas das “falhas” que foram descobertas nos últimos tempos sobre este serviço:

 

  • Recolha massiva de dados: A política de Privacidade da empresa surge criticada pela recolha de informação excessiva que realiza sobre os seus utilizadores – como vídeos, mensagens e notas partilhadas pelo serviço – bem como a partilha desses dados com entidades terceiras. Depois das críticas surgirem, a empresa atualizou a política a 29 de Março para garantir que os dados não são vendidos para fins de publicidade, apesar de ainda continuar a recolher informação para esse fim quando os utilizadores visitam os sites principais da empresa.
  • Aplicação do iOS: a aplicação para iOS da Zoom esteve envolta em “fúria” depois de ter sido descoberto que estaria a enviar dados analíticos dos utilizadores para os sistemas do Facebook, mesmo que os utilizadores não tivessem uma conta na rede social. A funcionalidade foi mais tarde removida.
  • Tracking de atenção: a plataforma tinha uma funcionalidade que permitia aos gestores de uma reunião serem notificados sempre que um utilizador focasse “fora” da janela da conversa – abrindo uma nova aba, por exemplo. Esta funcionalidade foi, entretanto, removida, apesar de ainda ser permitido aos gestores lerem mensagens privadas enviadas entre utilizadores se a conversa for gravada localmente.
  • Técnicas “escondidas” de instalação no Mac: a aplicação do Mac da Zoom utiliza técnicas “estranhas” para instalar a aplicação no sistema, sem a necessidade de aprovação dos utilizadores, sendo este mesmo género de atividade normalmente utilizado em malware para macOS. A empresa removeu a funcionalidade no dia 2 de Abril alegando tratar-se de uma função que facilitava a instalação no sistema.
  • Vulnerabilidades na aplicação do Windows: uma falha na aplicação do Windows da Zoom permitia o envio dos dados de login do utilizador no seu sistema para servidores remotos, bastando aceder a um simples link enviado pelo chat da plataforma. A falha foi corrigida a 2 de Abril
  • Acesso não autorizado no macOS: duas vulnerabilidades na aplicação da Zoom para macOS permitiam o acesso administrativo ao sistema e controlo da câmara e microfone, juntamente com a capacidade de gravar as reuniões feitas pela aplicação. A falha foi corrigida no dia 2 de Abril.
  • Ligação não autorizada ao LinkedIn: foi descoberta a existência de uma funcionalidade na Zoom que recolhia o nome dos utilizadores e email dos mesmos, sem autorização, para associar com perfis públicos da plataforma LinkedIn – incluindo utilizadores sem conta ou utilizando apenas nicknames. Se algum dos participantes tivesse a subscrição “LinkedIn Sales Navigator”, era possível aceder à informação de todos os restantes perfis na mesma chamada sem o conhecimento ou autorização destes. A funcionalidade foi removida.
  • Chamadas para desconhecidos: foi descoberta uma falha com a plataforma que estaria a permitir descobrir e realizar chamadas com terceiros desconhecidos, juntamente com a divulgação de milhares de emails e fotos dos utilizadores. Em causa estaria o facto da Zoom agrupar utilizadores com o mesmo domínio como sendo funcionários da mesma empresa – o que afetava quem possuía contas do Gmail, Outlook ou outras plataformas publicas.
  • Vídeos de reuniões publicamente acessíveis: A 3 de Abril, o Washington Post revelou uma falha que permitia a descoberta simples e rápida de gravações realizadas dentro da plataforma, através da pesquisa por nomes comuns das gravações em sistemas públicos. Estes vídeos estavam armazenados em servidores da Amazon sem qualquer encriptação.
  • zWarDial: investigadores de segurança desenvolveram uma aplicação “zWarDial” capaz de descobrir centenas de Ids de reuniões da Zoom por dia, utilizando um simples método de “tentativa e erro”.
  • Falhas na encriptação ponta a ponta: a Zoom indicava utilizar sistemas de encriptação ponta-a-ponta na sua plataforma. No entanto, estas indicações apenas são verdadeiras para chamadas realizadas quando não se encontra a ser feita a gravação cloud das reuniões. Nestes casos, a Zoom possui acesso à chave de encriptação para registar todos os conteúdos das conversas e pode aceder ao conteúdo das mesmas.
  • Falha na encriptação ponta-a-ponta, parte 2: como a Zoom mantêm acesso a todas as suas chaves de encriptação na cloud, tecnicamente isso poderá permitir mais facilmente o acesso de autoridades ou terceiros a todas as conversas realizadas pela plataforma, caso ganhem acesso a estas chaves.
  • Ligações a servidores na China: foi descoberto que muitas das chaves de encriptação da Zoom estariam a ser geradas em servidores localizados na China, mesmo que os participantes numa conversa não estivessem fisicamente nesta região.
  • Resposta da empresa às ligações na China: em resposta ao ponto anterior, o CEO da Zoom Eric S.Yuan referiu que a empresa foi forçada a aumentar a capacidade de processamento dos seus sistemas quando se começou a verificar um aumento de utilizadores no serviço. Durante este procedimento, terão sido adquiridos incorretamente servidores em datacenters na China, e certos clientes – sobre certas condições limitadas – poderiam realizar ligações aos mesmos.
  • Zoombombing: cada vez mais tem vindo a ser descoberto casos de “Zoombombing”, uma pratica onde terceiros descobrem reuniões desprotegidas na Zoom e acedem às mesmas indevidamente. A empresa começou a forçar a aplicação de password para todas as chamadas por padrão, bem como a ativação de uma sala de espera virtual, onde novos participantes necessitam de ser aprovados pelo gestor da reunião.

 

Devo ou não utilizar a Zoom?

 

Dando créditos à Zoom, apesar de todas as falhas que tem vindo a ser descobertas, a empresa também esteve atenta às mesmas e respondeu de forma rápida e consistente. Todas as falhas e problemas descobertos foram, entretanto, corrigidos – ou pelo menos as mais críticas.

Além disso, a empresa também revelou recentemente que iria suspender o lançamento de novas funcionalidades na plataforma pelo período de 90 dias, como forma de averiguar a segurança do serviço e focar a atenção dos funcionários na resolução de potenciais problemas que ainda possam surgir.

 

Sobre a questão de a Zoom deve ou não ser utilizada para realizar reuniões virtuais, as opiniões ainda se dividem. Existe quem considere que a empresa tem vindo a responder de forma rápida e transparente a todos os problemas, face ao igualmente trabalhoso plano de acolher um número bastante elevado de novos utilizadores no serviço. Por outro, existe quem considere que as falhas, mesmo que corrigidas, podem ter afetado a visibilidade da empresa, e como tal é melhor procurar-se alternativas.

 

segurança em redes

 

Em ambos os casos, ainda existem situações que podem ser consideradas um “ponto de alerta” para muitos. Por exemplo, o facto da empresa ter decidido utilizar as suas próprias chaves de encriptação e ter, assim, acesso às chamadas realizadas pela plataforma será uma considerável falha de segurança – e a qual foi realizada com intenção pela Zoom.

 

No final, para os utilizadores casuais, que pretendam apenas uma forma simples e rápida de realizar chamadas virtuais ou manter o contacto com terceiros para tarefas não críticas, a Zoom ainda é uma excelente plataforma que fornece as funcionalidades necessárias e de forma simples.

 

No entanto, para empresas, para quem transmita informações sensíveis ou tenha preocupações com a sua segurança e privacidade online, talvez não seja uma das melhores escolhas – tendo em conta as alternativas existentes à mesma.

 

Qual a sua opinião relativamente à Zoom?

Deixe os seus comentários.







Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech