Popularidade do Zoom revela problemas antigos de privacidade e segurança

Com mais pessoas a trabalhar remotamente e professores a dar aulas à distância, o Zoom tornou-se bastante popular de um momento para o outro. E isso colocou as vulnerabilidades de privacidade e segurança da aplicação à vista de todos e dos trolls.

Foto de Allie Smith via Unsplash
 
O Shifter precisa de dinheiro para sobreviver.
Se achas importante o que fazemos, contribui aqui.

O Covid-19 colocou o mundo em quarentena e a trabalhar a partir de casa, forçando-o a adoptar ferramentas digitais para manter a distância social mas não perder o contacto. Se há profissões que não podem deixar de existir presencialmente, outras nem por isso e, indiscutivelmente, o Zoom tornou-se o ponto de encontro para tantas pessoas, de administradores de empresas a políticos como Boris Johnson, passando por professores e alunos forçados a abraçar o ensino à distância.

O Zoom é, por estes dias, uma das aplicações mais descarregadas na App Store e Google Play Store; mas esta repentina e excecional popularidade tem trazido alguns problemas de segurança para os utilizadores e para a empresa dona da app. Existindo mais pessoas a usar a aplicação, mais apetecível esta se torna para trolls ou indivíduos mal intencionados. Uma das vulnerabilidades do Zoom é a facilidade com que se pode entrar numa chamada alheia: cada reunião na app tem associado um ID formado por uma sequência de números e que é partilhando entre os participantes dessa reunião antes da mesma acontecer para que todos se possam juntar. Ora trocando alguns desses números por outros podemos conseguir entrar numa reunião de Zoom para a qual não fomos convidados.

Os IDs

Uma ferramenta automatizada desenvolvida por uma empresa especializada em cibersegurança foi capaz de encontrar 100 IDs de videochamadas de Zoom numa hora e 2400 IDs num só dia. O programa chama-se zWarDial e consegue adivinhar as sequências compostas por 11 algoritmos com uma taxa de sucesso de 14%; os especialistas em cibersegurança dessa empresa conseguiram, além dos IDs, recolher a data e duração de cada reunião, quem a organizou e o tópico do encontro.

Mas não é preciso ir tão longe. O Primeiro-Ministro do Reino Unido, Boris Jonhson, testado recentemente positivo com Covid-19, realizou uma reunião através do Zoom com altas figuras da política britânica; através de uma foto publicada no Twitter, Boris partilhou não só o ID daquela reunião como os usernames de alguns ministros que podem estar associados a e-mails pessoais. Todavia, apesar de ter partilhado o ID da reunião, o Primeiro-Ministro britânico protegeu-a com uma palavra-passe.

Zoombombing

O chamado Zoombombing tornou-se uma cena. Trolls, mal intencionados ou só com pretensões de gozo, estão a invadir videochamadas de Zoom e a mostrar pornografia e vídeos perturbadores. O jornalista do The Verge Casey Newton e o investidor Hunter Walk tiveram de interromper os seus encontros diários e públicos por Zoom, baptizados de Work From Home Happy Hour, por esse motivo. O New York Times recolheu outras histórias de Zoomboombings, em que trolls entraram em encontros de Zoom e começaram, através da opção de partilha de ecrã, a transmitir vídeos não apropriados.

É certo que as histórias que até aqui relatámos são também responsabilidade dos utilizadores, por desconhecimento de como a aplicação funciona, mas a empresa que desenvolve o Zoom pode também ter uma quota parte de responsabilidade por não proteger a privacidade e segurança dos utilizadores por design. Certo é que, nas definições dos encontros, Zoom permite estipular que só o organizador de uma reunião possa partilhar o ecrã, impedindo basicamente que Zoombombing aconteçam. É também possível fechar a porta de uma reunião para que, quando estiverem todos, mais ninguém possa entrar (tem de ficar lá fora) ou obrigar os convidados a fazer login na reunião com o e-mail no qual receberam o convite. Há ainda a opção de proteger a reunião com uma password como o Primeiro-Ministro Boris Johnson fez.

Outros problemas

Todas essas opções não resolvem todos os problemas do Zoom. O The Intercept descobriu que o Zoom não oferece encriptação ponta-a-ponta como promete o marketing no seu site – um porta-voz da empresa confirmou que a aplicação não tem esse tipo de segurança (que um WhatsApp ou um Signal oferecem) mas nega estar a enganar os utilizadores na sua comunicação. O Zoom recorre a encriptação TLS, o mesmo tipo de encriptação que mantém o teu Gmail ou Facebook seguros, como explica o The Verge. Na prática, o Zoom é seguro mas as tuas conversas passam pelos servidores do Zoom sem serem codificadas de forma a que ninguém as pessoa ler ou ouvir. Já um especialista em malware ficou curioso porque é que o instalador do Zoom no macOS consegue instalar a aplicação sem o processo habitual e não são boas notícias, como explica nesta thread de Twitter. No Windows, também há uma vulnerabilidade descoberta que permite, através da partilha de links num chat de Zoom, o acesso indevido ao nome e password de login do computador de outra pessoa.

A solução

Admitindo mea culpa, o Zoom anunciou que, nos próximos 90 dias, vai parar o desenvolvimento de novas funcionalidades e focar toda a sua equipa para resolver as falhas de privacidade e segurança. A empresa norte-americana já ajustou as definições padrão das videochamadas para as contas de escolas e universidades para impedir Zoombombings insperados. Já removeu o código polémico que permitia a partilha de informações entre o Zoom e o Facebook. Já reescreveu partes da sua política de privacidade depois de se ter descoberto que dados pessoais dos utilizadores podem ser utilizados para fins comerciais. Já resolveu um problema que permitia a partilha não autorizada de contactos (endereços de e-mail, fotos de perfil…) entre funcionários de uma mesma empresa.

Relativamente acessível e fácil de usar, o Zoom disponibiliza planos pagos para empresas e outras entidades que precisem de um software para videochamadas – é o caso do Colibri, serviço prestado pela unidade de Computação Científica Nacional da Fundação Para A Ciência e Tecnologia (FCCN-FCT) e que se baseia no Zoom, estando disponível para a comunidade académica e científica portuguesa. Mas o Zoom tem uma oferta gratuita, que qualquer pessoa pode instalar, seja no seu computador ou telemóvel. Essa versão gratuita permite realizar encontros por videochamada com até 100 pessoas e duração máxima de 40 minutos se forem com mais duas pessoas.

De referir que existem alternativas em código aberto (e, por isso, igualmente gratuitas) ao Zoom. Uma das mais conhecidas é o Jitsi, mas existe também uma alternativa chamada Jami.

Se não conseguirmos aumentar o número de patronos, a 2ª edição da revista será a última, e o Shifter como o conheces terminará no final de Dezembro. O teu apoio é fundamental!