O crescimento do zoom, software de videoconferência, que segundo dados da própria empresa passou de 10 milhões de usuários diários em dezembro para 200 milhões em março deste ano, foi acompanhado pela descoberta de um grande número de erros em segurança que suscitou muitas dúvidas entre os usuários, fazendo com que, por exemplo, a cidade de Nova York proibisse seu uso nas escolas ou que o procurador geral de Nova York escrevesse uma carta à empresa perguntando quais medidas de segurança planeja implementar a partir deste aumento de tráfego. Mas, além dos problemas da ferramenta, o contexto do novo coronavírus e a necessidade de realizar atividades remotamente despertaram o interesse dos cibercriminosos, que aproveitaram a popularidade da ferramenta para enganar os usuários.
Além dos problemas de privacidade e segurança no Zoom que mencionamos em um texto publicado em 30 de março, como o envio de dados coletados pela ferramenta para o Facebook, o fenômeno chamado Zoombombing, no qual um invasor entra nas videoconferências grupais usando o ID da reunião virtual ou um link que se tornou público para ter acesse ao encontro, ou o crescimento do número de domínios registrados por cibercriminosos usando o nome da ferramenta com a intenção de enganar os usuários para infectá-los com malware, nos últimos dias surgiram novos problemas relacionados à segurança e ao gerenciamento da privacidade do zoom.
É importante destacar que, através de uma nota publicada no dia 01 de abril deste ano, a Zoom Video Communications destacou sua preocupação com os problemas de segurança e privacidade que surgiram nos dias de hoje e tomou medidas para resolvê-los. Vários problemas que estão vinculados ao aplicativo já foram resolvidos, enquanto outras ameaças à segurança estão relacionadas a cibercriminosos que tentam tirar proveito do interesse dos usuários pela ferramenta, ou seja, são incidentes que fogem ao controle da empresa.
Antes de detalhar os problemas de segurança e privacidade que ocorreram nos últimos dias, o Zoom divulgou um comunicado anunciando hoje (09) as atualizações de segurança. Entre as mudanças implementadas estão a remoção do ID da barra de título e a criação de uma nova opção chamada "segurança", que permite aos administradores encontrar e ativar facilmente muitos dos recursos de segurança implementados para a segurança das reuniões realizadas por meio da ferramenta.
Falha de segurança nos links para caminhos UNC
No final de março, especialistas descobriram que o Zoom era vulnerável a uma falha chamada “UNC path injection”, que poderia ser usada por um invasor para obter os dados de acesso de usuário do Windows da vítima depois de clicar no hiperlink. Os caminhos UNC são cadeias de caracteres usadas para indicar o caminho ou o local de um arquivo ou diretório dentro do sistema.
O problema faz com que o Zoom transforme esses caminhos UNC em hiperlinks, que podem ser enviados de um participante a outro através do chat da ferramenta. Caso o usuário clique no hiperlink para o caminho UNC, o servidor remoto do Windows tenta conectar-se ao protocolo SMB para chegar ao caminho, e ao fazer isso, por padrão, envia o número de usuário para o início de login e a senha hasheada, que pode ser decifrada com algumas ferramentas disponíveis de forma gratuita. Além disso, outro pesquisador que analisou este caso revelou que essa falha pode ser usada para executar um programa em um computador local ao clicar no hiperlink.
Felizmente, a empresa lançou uma nova versão da ferramenta (4.6.19253.0401) que corrige o erro e impede que os caminhos UNC se tornem hiperlinks.
Recurso que permitia vincular participantes são perfis do LinkedIn
Uma investigação do New York Times revelou que a ferramenta usava uma função de mineração de dados que coletava nomes de usuário e endereços de e-mail para vincular os participantes aos seus perfis do LinkedIn, mesmo que eles usassem um pseudônimo para permanecer anônimos. Além disso, segundo o jornal, a ferramenta permitia que os participantes da reunião acessassem os dados do perfil do LinkedIn sem que o Zoom solicitasse permissão para visitar as informações do perfil dos participantes ou mesmo lhes informasse que outros usuários estavam visitando sua conta na rede social. O Zoom revelou que já desativou esta função.
Vazamento de endereços de e-mail e fotos
O site Motherboard da Vice revelou que o Zoom vazava endereços de e-mail e fotos de milhares de usuários, permitindo que desconhecidos pudessem entrar em contato através da ferramenta. O problema está na função "Diretório da empresa", que adiciona automaticamente outras pessoas a uma lista de contatos que se registraram no Zoom com um e-mail que compartilha o mesmo domínio. No entanto, muitos usuários registrados com contas de e-mail pessoais perceberam que o programa os incluía em listas de contatos com outros usuários como se fossem parte da mesma empresa, expondo suas informações pessoais para outros usuários, como nomes, endereços de e-mail e fotos.
Um porta-voz da empresa disse ao site que eles adicionaram os domínios especificados a uma lista negra e que proativamente identificam domínios que devem ser incluídos nessa lista.
Crescimento do fenômeno chamado Zoombombing
As comunidades de usuários começaram a compartilhar os códigos de conferências que permitem que outros usuários se infiltrem em videoconferências para alterar as comunicações. Apelidado de Zoombombing, usando esse tipo de ataque, os invasores realizam práticas agressivas, como exibir pornografia, ameaçar participantes, insultá-los ou o que eles quiserem fazer.
Como destacamos em uma publicação anterior sobre os problemas de privacidade e segurança relacionados ao Zoom, a invasão de trolls que encontram links ou obtêm os IDs para reuniões na plataforma teve um crescimento significativo. De acordo com o portal Zdnet, em sites como Reddit, Twitter ou fóruns de hackers, entre muitos outros, os usuários estavam compartilhando links e códigos para que outros usuários pudessem ter acesso a diversas chamadas realizadas através da ferramenta.
Após o aumento dos ataques conhecidos como Zoomboming, o FBI emitiu um alerta para que os usuários protejam seus navegadores com o intuito de evitar serem vítimas de tais ataques. Uma das principais recomendações é criar uma senha para o acesso à reunião, uma opção que aparece automaticamente ao criar um encontro. Além disso, é aconselhável não compartilhar o ID da reunião ou publicar imagens do encontro, pois as imagens mostram o ID da reunião (o Zoom anunciou hoje (09) que o ID não será mais mostrado na barra de ferramentas), além de desativar a possibilidade de compartilhamento de tela. Para finalizar, bloqueie a reunião após a entrada de todos os participantes.
O Zoom publicou um guia sobre como evitar esses tipos de ataques que inclui as orientações mencionadas nesta publicação, entre outras.
Gravações do Zoom no domínio público
Um texto publicado no Washington Post em 3 de abril revelou que milhares de gravações de chamadas feitas através do Zoom haviam sido armazenadas no domínio público. Além disso, devido à maneira de nomear os arquivos implementados pelo Zoom, foi possível encontrar vídeos, acessíveis a qualquer pessoa, em serviços de armazenamento como os oferecidos pela Amazon.
Criptografia nas comunicações feitas através do Zoom
Embora o Zoom pretenda implementar criptografia de ponta a ponta em suas comunicações, parece que esse não é o caso. De acordo com o site The Intercept, o Zoom tem acesso a vídeos e áudios sem criptografia das reuniões realizadas por meio do aplicativo. A empresa esclareceu que o conteúdo das videoconferências (bate-papos, vídeos, áudios e telas compartilhadas) é criptografado de ponta a ponta, mas se qualquer serviço, como gravação em nuvem, estiver ativado, o Zoom terá acesso às chaves de descriptografia que atualmente mantém na nuvem. Isso não deveria ocorrer, garantem alguns especialistas, já que em um verdadeiro sistema de criptografia de ponta a ponta, o provedor de serviços (neste caso, o Zoom) não deve poder acessar o conteúdo descriptografado das comunicações. Isso garantiria não apenas que o provedor não possa ler seus dados, mas também que um invasor não possa comprometer o aplicativo ou seus serviços em nuvem.
Por outro lado, uma pesquisa realizada pelo Citizen Lab garante que o esquema de criptografia do Zoom apresenta pontos fracos. Conforme revelado, as chaves para atender à criptografia e descriptografia são geradas nos servidores Zoom (que nunca devem sair do dispositivo endpoint); em alguns casos, elas foram enviadas aos participantes através de servidores localizados na China (algo que a própria empresa confirmou), o que é arriscado, pois os deixa nas mãos de terceiros que podem ser atacados por cibercriminosos para obter essas chaves.
Após a pesquisa realizada pelo Citizen Lab, a Zoom Video Communications comunicou que parou de usar os datacenters localizados na China, garantindo ao mesmo tempo que estava trabalhando para melhorar o esquema de criptografia implementado para fornecer segurança máxima.
Instaladores do Zoom falsos são usados para distribuir malware
No final de março, mencionamos que os pesquisadores relataram um aumento no registro de domínios que usavam o termo zoom como parte dos nomes de domínio, algo que provavelmente tem uma explicação na intenção dos cibercriminosos de criar sites que fazem passar pela plataforma para induzir os usuários a baixar executáveis maliciosos. Nesta semana, de acordo com a Trend Micro, cibercriminosos estão escondendo malware para minerar criptomoedas de instaladores legítimos do aplicativo. Além disso, o site BleepingComputer informou que descobriu outros instaladores do Zoom em sites não oficiais sendo usados para distribuir um trojan de acesso remoto (RAT) que permite ao invasor obter acesso total ao computador comprometido.
Esses foram os problemas de segurança e privacidade que surgiram nos últimos dez dias no Zoom. A Zoom Video Communications reconheceu as várias falhas e disse que o crescimento inesperado os superou, embora também tenha permitido que a empresa descobrisse problemas desconhecidos. Eles também explicaram que estão analisando cada uma das falhas descobertas para solucioná-las da melhor forma possível.