Zoom é uma solução de videoconferência que se popularizou devido ao distanciamento social imposto pela pandemia COVID-19. Como sua versão gratuita permite superar as limitações das videochamadas em grupo do WhatsApp, ele se tornou muito popular entre os usuários domésticos.
As perguntas para ampliar
Essa popularidade repentina levou os especialistas em segurança de computador (e algum outro cibercriminoso) interessar-se por seus recursos de privacidade e segurança.
O gabinete do procurador-geral de Nova York, Letitia James, enviou à empresa um pedido para relatar quais novas medidas de segurança a empresa implementou para lidar com o aumento do tráfego em sua rede e detectar criminosos cibernéticos.
Para o Ministério Público, a empresa responsável pelo serviço demorou a resolver falhas de segurança, como vulnerabilidades "O que pode permitir que terceiros mal-intencionados, entre outras coisas, obtenham acesso clandestino a webcams de consumidores."
Tudo começou com o ataque aumenta agora conhecido como “Zoombombing."
Essa palavra se refere ao explorando o recurso de compartilhamento de tela do Zoom para sequestrar reuniões e interromper sessões educacionais ou postar mensagens de supremacia branca em um webinar sobre anti-semitismo,
Os promotores expressam preocupação de que:
As práticas de segurança atuais da Zoom podem não ser suficientes para acomodar o recente aumento repentino no volume e na sensibilidade dos dados que passam pela rede.
Embora reconheçam que as vulnerabilidades detectadas foram corrigidas, eles pedem ao Zoom se você realizou uma revisão mais ampla de suas práticas de segurança.
Compartilhando dados com o Facebook
Alguns dias atrás, foi descoberto que o cliente Zoom para iOS enviou dados ao Facebook. Isso aconteceu mesmo que o usuário não tenha uma conta nessa rede social.
Pode não ser deliberado. Muitos aplicativos usam os kits de desenvolvimento de software (SDKs) do Facebook como um meio de implementar recursos em seus aplicativos com mais facilidade.
Ao baixar e abrir o aplicativo, o Zoom se conectaria à API Graph do Facebook. A Graph API é a principal forma de os desenvolvedores obterem dados dentro ou fora do Facebook.
O aplicativo Zoom notificou o Facebook quando o usuário abriu o aplicativo, detalhes do dispositivo do usuário, como modelo, fuso horário e cidade da qual ele está se conectando, a companhia telefônica que está usando e um identificador de anunciante exclusivo criado pelo dispositivo do usuário que as empresas podem usar para direcionar anúncios a um usuário.
Na ultima sexta feira, o aplicativo foi atualizado. Na nova versão o uso do SDK foi substituído por uma autenticação no Facebook usando o navegador.
Outros problemas de privacidade
Zoom também ttem outros problemas potenciais de privacidade. Os hosts de chamadas de Zoom podem ver se os participantes estão com a janela de Zoom aberta ou não, o que significa que eles podem monitorar se as pessoas estão prestando atenção. Administradores também Eles podem visualizar o endereço IP, dados de localização e informações do dispositivo. Se um usuário registrar qualquer chamada através do Zoom, os administradores pode acessar o conteúdo dessa chamada gravada, incluindo arquivos de vídeo, áudio, transcrição e bate-papo, bem como acesso para compartilhar, analisar e gerenciar privilégios de nuvem. Os administradores também podem participar de qualquer chamada, a qualquer momento, por solicitação de sua organização Zoom, sem consentimento prévio ou aviso aos participantes da chamada.
Se você usa um Mac e tem o Zoom instalado, deve ter cuidado com o que faz na frente da câmera. Jonathan Leitschuh, analista de segurança, publicado dois links dos quais é possível, a partir de um site, ligar a webcam de usuários de Mac sem o seu consentimento e conhecimento.
Mas as coisas não estão melhores para usuários do Windows. Por especialista em segurança cibernética @ _g0dmode, o Zoom para Windows é vulnerável a um vulnerabilidade clássica de "injeção de caminho UNC" que pode permitir que invasores remotos roubem credenciais de login Vítimas do Windows e até mesmo executar comandos arbitrários em seus sistemas.
Esses ataques são possíveis porque o Zoom para Windows oferece suporte a caminhos UNC remotos que convertem URIs potencialmente inseguros em hiperlinks quando recebidos por meio de mensagens de bate-papo para um destinatário em um bate-papo pessoal ou em grupo.
O sério de tudo isso é que estamos falando de um serviço que está no mercado há 9 anos e de um aplicativo que é um dos mais baixados nas duas lojas de aplicativos.
Alguns dias atrás, em Linux Adictos Nós revisamos algumas soluções de videoconferência de código aberto que você pode usar.