Devido aos relatos de falhas de segurança na plataforma de reuniões on-line Zoom (e por usar o sistema no trabalho) fiz uma pesquisa com o objetivo de entender/descobrir quais eram as vulnerabilidades, como elas poderiam nos afetar e como solucionar/corrigir ou mitigar esses riscos. Compartilho alguns pontos nesse post (que está uns 10 dias atrasado).
Após validar os relatos, que envolviam desde vazamento de gravações a invasão de computadores conectados, encontrei resumidamente registros das seguintes falhas:
1) Vazamento de reuniões gravadas [Confirmado]
Incidente: Algumas (15.000) gravações de reuniões que estavam armazenadas na AWS (Amazon) ficaram expostas ao acesso externo (via internet) pois estavam em um armazenamento sem proteção. Não ficou claro o motivo dessas gravações estarem armazenadas na AWS mas destaco também que não foram acessados arquivos dentro da infraestrutura própria/interna do Zoom.
2) Invasão de salas por estranhos [Confirmado]
Incidente: Por questão de agilidade e praticidade a plataforma permite criar salas abertas/públicas com acesso através apenas do link direto com o ID da sala/reunião (composto apenas por números) .
Solução: Criar reuniões com senha, sala de espera e/ou ainda solicitar inscrição dos participantes. (Também existe uma opção de fechar a sala após a entrada de todos os participantes que pode ser útil nesse caso).
– Senha: nesse caso o usuário precisa ter a senha de acesso além do link da reunião (existe a opção de compartilhar o link já com a senha “criptografada” na URL);
– Sala de espera: nesse caso é possível ter um maior controle de quem entra na reunião/sala pois além de ter o link de acesso, o anfitrião precisa aprovar a entrada do participante na sala.
3) Acesso a microfone e câmera (relato da Anvisa por exemplo) [Confirmado e corrigido]
Incidente: Foi identificada uma vulnerabilidade que poderia permitir o acesso externo a câmera e microfone do usuário em computadores com sistema operacional macOS (Apple);
Solução: Segundo a empresa foi corrigido.
4) Privacidade [Confirmado e corrigido]
Incidente: Foi identificado o compartilhamento de dados (IP, o tipo de aparelho, o sistema operacional, a localização e fuso horário da conexão) com o Facebook no app para iPhone independentemente de autorização do usuário.
Solução: Segundo a empresa foi corrigido.
5) Criptografia [ Confirmado parcialmente]
Incidente: A conexão é criptografada apenas entre os clientes e o(s) servidor(es) mas não de “ponta a ponta”, igual ao Whatsapp por exemplo.
Solução: Segundo a empresa será implementada uma solução de criptografia de ponta a ponta.
Conclusão
Após a descoberta dessas vulnerabilidades a empresa se posicionou reconhecendo e implementando medidas corretivas. Algumas soluções já foram implementadas e outras estão em desenvolvimento, nesse sentido segundo a própria Zoom todas as atividades de desenvolvimento de novas funcionalidades foram suspensas por 90 dias para a equipe se dedicar exclusivamente as rotinas de segurança e privacidade.
A empresa também criou um conselho com membros externos que são referências do mercado nas áreas de tecnologia, segurança e privacidade, além de contratar como consultor um renomado especialista e professor que foi diretor de segurança do Facebook.
Referências:
- https://www.techtudo.com.br/listas/2020/04/zoom-e-seguro-veja-dicas-para-usar-o-programa-de-videoconferencia.ghtml
- https://tecnoblog.net/332610/zoom-comeca-resolver-falhas-seguranca-privacidade-videochamadas/
- https://olhardigital.com.br/noticia/milhares-de-gravacoes-de-videoconferencias-do-zoom-sao-expostas-online/99024
- https://olhardigital.com.br/coronavirus/noticia/ceo-da-zoom-admite-erros-na-protecao-aos-dados-de-usuarios-do-app/99052
- https://www.uol.com.br/tilt/noticias/redacao/2020/04/07/zoom-obriga-uso-de-senha-por-seguranca-mas-ainda-pode-ser-invadido.htm
- https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2020/04/07/por-que-o-zoom-e-alvo-de-desconfianca-e-quais-sao-as-alternativas-para-videoconferencia.ghtml
- https://www1.folha.uol.com.br/mercado/2020/04/anvisa-bloqueia-uso-do-zoom-entre-funcionarios-apos-falhas-de-seguranca.shtml
- https://brasil.elpais.com/retina/2020-04-07/problemas-de-privacidade-e-seguranca-sacodem-sucesso-do-zoom-na-pandemia-de-coronavirus.html
- https://oglobo.globo.com/economia/tecnologia/em-alta-com-quarentena-zoom-enfrenta-escandalos-de-privacidade-seguranca-24347707
- https://blog.zoom.us/wordpress/2020/04/08/update-on-zoom-90-day-plan-to-bolster-key-privacy-and-security-initiatives/