Falhas de segurança no Zoom (sistema de videoconferência)

Devido aos relatos de falhas de segurança na plataforma de reuniões on-line Zoom (e por usar o sistema no trabalho) fiz uma pesquisa com o objetivo de entender/descobrir quais eram as vulnerabilidades, como elas poderiam nos afetar e como solucionar/corrigir ou mitigar esses riscos. Compartilho alguns pontos nesse post (que está uns 10 dias atrasado).

Após validar os relatos, que envolviam desde vazamento de gravações a invasão de computadores conectados, encontrei resumidamente registros das seguintes falhas:

1) Vazamento de reuniões gravadas [Confirmado]

Incidente: Algumas (15.000) gravações de reuniões que estavam armazenadas na AWS (Amazon) ficaram expostas ao acesso externo (via internet) pois estavam em um armazenamento sem proteção. Não ficou claro o motivo dessas gravações estarem armazenadas na AWS mas destaco também que não foram acessados arquivos dentro da infraestrutura própria/interna do Zoom.

2) Invasão de salas por estranhos [Confirmado]

Incidente: Por questão de agilidade e praticidade a plataforma permite criar salas abertas/públicas com acesso através apenas do link direto com o ID da sala/reunião (composto apenas por números) .

Solução: Criar reuniões com senha, sala de espera e/ou ainda solicitar inscrição dos participantes. (Também existe uma opção de fechar a sala após a entrada de todos os participantes que pode ser útil nesse caso).

– Senha: nesse caso o usuário precisa ter a senha de acesso além do link da reunião (existe a opção de compartilhar o link já com a senha “criptografada” na URL);

– Sala de espera: nesse caso é possível ter um maior controle de quem entra na reunião/sala pois além de ter o link de acesso, o anfitrião precisa aprovar a entrada do participante na sala.

3) Acesso a microfone e câmera (relato da Anvisa por exemplo) [Confirmado e corrigido]

Umbler

Incidente: Foi identificada uma vulnerabilidade que poderia permitir o acesso externo a câmera e microfone do usuário em computadores com sistema operacional macOS (Apple);

Solução: Segundo a empresa foi corrigido.

4) Privacidade [Confirmado e corrigido]

Incidente: Foi identificado o compartilhamento de dados (IP, o tipo de aparelho, o sistema operacional, a localização e fuso horário da conexão) com o Facebook no app para iPhone independentemente de autorização do usuário.

Solução: Segundo a empresa foi corrigido.

5) Criptografia [ Confirmado parcialmente]

Incidente: A conexão é criptografada apenas entre os clientes e o(s) servidor(es) mas não de “ponta a ponta”, igual ao Whatsapp por exemplo.

Solução: Segundo a empresa será implementada uma solução de criptografia de ponta a ponta.

Conclusão

Após a descoberta dessas vulnerabilidades a empresa se posicionou reconhecendo e implementando medidas corretivas. Algumas soluções já foram implementadas e outras estão em desenvolvimento, nesse sentido segundo a própria Zoom todas as atividades de desenvolvimento de novas funcionalidades foram suspensas por 90 dias para a equipe se dedicar exclusivamente as rotinas de segurança e privacidade.

A empresa também criou um conselho com membros externos que são referências do mercado nas áreas de tecnologia, segurança e privacidade, além de contratar como consultor um renomado especialista e professor que foi diretor de segurança do Facebook.


Referências:

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Newsletter willianrdg.com.br
Assine a newsletter e receba as atualizações do blog no seu e-mail.