Zoom começa a resolver falhas de segurança e privacidade
Mas ainda há muito trabalho a ser feito para o Zoom ser considerado seguro
Mas ainda há muito trabalho a ser feito para o Zoom ser considerado seguro
O Zoom, um dos aplicativos de videochamadas mais populares da atualidade, tem tantos problemas de segurança e privacidade que Eric S. Yuan, CEO do serviço, pediu desculpas e prometeu soluções. A boa notícia é que as promessas já estão sendo cumpridas. A má é que, apesar disso, ainda não é o momento de considerar a ferramenta totalmente confiável.
Um dos vários problemas do Zoom começou a ser resolvido no início da semana. Pelo menos é o que a empresa diz. Trata-se de uma falha que afeta o aplicativo do serviço para Windows.
Toda vez que um link de um site é compartilhado em um chat no Zoom, ele se torna clicável para ser aberto facilmente. O problema é que a ferramenta também transforma caminhos de rede em link clicável.
Para executar o arquivo desse link, o Windows tenta se conectar ao servidor remoto usando o protocolo de compartilhamento de arquivos SMB. Nesse procedimento, o nome do usuário e seu hash de senha são transmitidos para validação.
Aí vem a parte preocupante: o hash pode ser quebrado por ferramentas específicas. Além disso, o link clicável pode permitir a execução de arquivos maliciosos sem o usuário perceber. Desenvolvedores do Zoom afirmam que já estão trabalhando para resolver essa vulnerabilidade.
No macOS, o aplicativo do Zoom chegou a ser comparado a um malware. O motivo? O arquivo de instalação era acompanhado de scripts que automatizavam esse processo, assim, o usuário não precisava confirmar o procedimento.
Essa abordagem não chega a ser um problema grave, mas é bastante questionável. A resposta à polêmica foi rápida: o cliente do Zoom para macOS foi atualizado recentemente para ser instalado como qualquer outro software.
Outra abordagem questionável: quando um usuário entrava em uma videochamada, o Zoom podia combinar seu nome de login e e-mail com dados da mesma pessoa no LinkedIn. Assim, os participantes da videoconferência poderiam obter nome real, cargo, localidade e outras informações sobre esse usuário, sem que ele autorizasse.
Questionada, a Zoom Video Communications afirma que esse “recurso” foi descontinuado na última quinta-feira (2).
Além dessas medidas, vários problemas associados ao Zoom foram corrigidos ou amenizados nas últimas semanas, antes mesmo do pedido de desculpas de Eric S. Yuan.
Mas ainda há trabalho a ser feito. Para dar um exemplo, o The Verge aponta para uma ferramenta de teste desenvolvida por especialistas em segurança que pode encontrar cerca de 100 IDs de reuniões no Zoom em apenas uma hora. Dados como link, data, hora e organizador da transmissão podem ser obtidos com relativa facilidade com ferramentas do tipo.
O uso de senhas é a melhor forma de evitar que reuniões sejam invadidas ou monitoradas com esse método de rastreamento, mas muitas delas ainda são realizadas sem esse tipo de proteção, situação que sinaliza para a necessidade de medidas mais efetivas por parte da Zoom para combater o problema.
Com informações: Bleeping Computer, MacRumors, Mashable.