Zoom não oferece criptografia de ponta a ponta; app é comparado a “malware” [atualizado]

O app de videoconferência Zoom já acumula um par de polêmicas envolvendo privacidade, sendo o primeiro deles de meados do ano passado (já resolvido pela empresa). O segundo, entretanto, foi divulgado há alguns dias, quando o Motherboard informou que o app estava enviando dados de análise para o Facebook mesmo que o usuário não tivesse uma conta na rede social.

Publicidade

Como se não bastasse tudo isso, agora a plataforma é acusada mais uma vez de falhar com a privacidade dos seus usuários: aparentemente, as chamadas do Zoom não são criptografadas de ponta a ponta, apesar de o app e seus materiais de marketing promoverem o contrário. A descoberta foi feita pelo The Intercept.

O Zoom, serviço de videoconferência cujo uso disparou em meio à pandemia da COVID-19, afirma implementar criptografia de ponta a ponta, amplamente entendida como a forma mais privada de comunicação na internet, protegendo as conversas de todas as partes externas. De fato, o Zoom está usando sua própria definição do termo, uma que permite ao próprio Zoom acessar vídeo e áudio não criptografado das reuniões.

Como destacado na reportagem, a definição padrão de criptografia de ponta a ponta significa que nenhum agente externo pode acessar uma conversa (nem mesmo depois de ela ter acabado). Nesse sentido, embora o Zoom afirme usar esse tipo de tecnologia, as chamadas são criptografas apenas durante uma transmissão, o que é conhecido como “criptografia de transporte”; ou seja, após uma chamada, os servidores da plataforma podem descriptografar as chamadas recebidas e ver todos os participantes, se a empresa quiser.

Esse tipo de criptografia não é diferente de navegar na web por HTTPS: sua conexão com o servidor está protegida, mas o conteúdo pode ser descriptografado e acessado pelo servidor. Obviamente, o Zoom disse que não faz isso e simplesmente usa o servidor para “recodificar a conexão com os destinatários da chamada”.

Publicidade

Em resposta à alegação do The Intercept, um porta-voz do Zoom afirmou que não é possível, de fato, ativar a criptografia de ponta a ponta em videochamadas — porém com mais termos técnicos:

As videoconferências do Zoom usam uma combinação de TCP1 e UDP2. As conexões TCP são feitas usando TLS3 e as conexões UDP são criptografadas com o AES4 usando uma chave em uma conexão TLS.

O FaceTime, por outro lado, sempre foi criptografado de ponta a ponta. Até mesmo as chamadas em grupo, lançadas em 2018, são seguras nesse sentido — tanto é que o FaceTime continua sendo o único app de chamada por vídeo que suporta criptografia de ponta a ponta em ligações com até 32 participantes.

Apesar disso, o FaceTime exige que todos na chamada usem um iPhone, iPad, iPod touch ou Mac — diferentemente do Zoom. Além disso, o FaceTime não possui os principais recursos de videoconferência corporativa, como a opção de compartilhar a tela de um computador; logo, o que o serviço da Maçã tem de segurança, perde em funcionalidade (em comparação com outras plataformas).

Publicidade

Críticas ao instalador do app no macOS

Para completar, o método de instalação do Zoom foi questionado por Felix, líder técnico da VMRay, como podemos ver abaixo:

De acordo com ele, o instalador do Zoom no macOS funciona mesmo sem você clicar em instalar. Como? Eles usam scripts de pré-instalação, descompactam manualmente o aplicativo usando um arquivo 7-Zip incluído e instalam o app na pasta Aplicativos se a conta do usuário for de administrador.

Ainda segundo Felix, se o aplicativo já estiver instalado mas o usuário atual não for administrador, eles usam uma ferramenta auxiliar chamada zoomAutenticationTool e a API5 AuthorizationExecuteWithPrivileges para gerar um prompt de senha identificando como sistema(!) para obter acesso raiz.

Publicidade

Isso não chega a ser algo malicioso, mas Felix classificou como “muito obscuro e amargo”, já que o aplicativo é instalado sem que o usuário dê seu consentimento final e um prompt altamente enganoso seja usado para obter privilégios de root. Basicamente, estamos falando de um truque usado por alguns malwares para macOS. 😳

Que coisa…

via 9to5Mac

Atualização, por Rafael Fischmann 02/04/2020 às 15:40

Até que os caras foram rápidos. Em um update liberado hoje, no dia em que a Zoom anunciou que está agora 100% focada em resolver problemas de segurança/privacidade, ela afirma já ter consertado essa falha no instalador do aplicativo para macOS.

A atualização remove a técnica obscura de “pré-instalação” e a falsa caixa de diálogo de senha, passando a funcionar como sempre deveria.

O caminho é esse.

via The Verge

Posts relacionados

Comentários

Carregando os comentários…