O melhor pedaço da Maçã.

Zoom não oferece criptografia de ponta a ponta; app é comparado a “malware” [atualizado]

Business Insider
Videochamadas do Zoom

O app de videoconferência Zoom já acumula um par de polêmicas envolvendo privacidade, sendo o primeiro deles de meados do ano passado (já resolvido pela empresa). O segundo, entretanto, foi divulgado há alguns dias, quando o Motherboard informou que o app estava enviando dados de análise para o Facebook mesmo que o usuário não tivesse uma conta na rede social.

Publicidade

Como se não bastasse tudo isso, agora a plataforma é acusada mais uma vez de falhar com a privacidade dos seus usuários: aparentemente, as chamadas do Zoom não são criptografadas de ponta a ponta, apesar de o app e seus materiais de marketing promoverem o contrário. A descoberta foi feita pelo The Intercept.

O Zoom, serviço de videoconferência cujo uso disparou em meio à pandemia da COVID-19, afirma implementar criptografia de ponta a ponta, amplamente entendida como a forma mais privada de comunicação na internet, protegendo as conversas de todas as partes externas. De fato, o Zoom está usando sua própria definição do termo, uma que permite ao próprio Zoom acessar vídeo e áudio não criptografado das reuniões.

Como destacado na reportagem, a definição padrão de criptografia de ponta a ponta significa que nenhum agente externo pode acessar uma conversa (nem mesmo depois de ela ter acabado). Nesse sentido, embora o Zoom afirme usar esse tipo de tecnologia, as chamadas são criptografas apenas durante uma transmissão, o que é conhecido como “criptografia de transporte”; ou seja, após uma chamada, os servidores da plataforma podem descriptografar as chamadas recebidas e ver todos os participantes, se a empresa quiser.

Esse tipo de criptografia não é diferente de navegar na web por HTTPS: sua conexão com o servidor está protegida, mas o conteúdo pode ser descriptografado e acessado pelo servidor. Obviamente, o Zoom disse que não faz isso e simplesmente usa o servidor para “recodificar a conexão com os destinatários da chamada”.

Publicidade

Em resposta à alegação do The Intercept, um porta-voz do Zoom afirmou que não é possível, de fato, ativar a criptografia de ponta a ponta em videochamadas — porém com mais termos técnicos:

As videoconferências do Zoom usam uma combinação de TCP1Transmission control protocol, ou protocolo de controle de transmissão. e UDP2User datagram protocol, ou protocolo de datagrama do usuário.. As conexões TCP são feitas usando TLS3Transport layer security, ou segurança da camada de transporte. e as conexões UDP são criptografadas com o AES4Advanced encryption standard, ou Padrão de criptografia avançada. usando uma chave em uma conexão TLS.

O FaceTime, por outro lado, sempre foi criptografado de ponta a ponta. Até mesmo as chamadas em grupo, lançadas em 2018, são seguras nesse sentido — tanto é que o FaceTime continua sendo o único app de chamada por vídeo que suporta criptografia de ponta a ponta em ligações com até 32 participantes.

Apesar disso, o FaceTime exige que todos na chamada usem um iPhone, iPad, iPod touch ou Mac — diferentemente do Zoom. Além disso, o FaceTime não possui os principais recursos de videoconferência corporativa, como a opção de compartilhar a tela de um computador; logo, o que o serviço da Maçã tem de segurança, perde em funcionalidade (em comparação com outras plataformas).

Críticas ao instalador do app no macOS

Para completar, o método de instalação do Zoom foi questionado por Felix, líder técnico da VMRay, como podemos ver abaixo:

Publicidade

De acordo com ele, o instalador do Zoom no macOS funciona mesmo sem você clicar em instalar. Como? Eles usam scripts de pré-instalação, descompactam manualmente o aplicativo usando um arquivo 7-Zip incluído e instalam o app na pasta Aplicativos se a conta do usuário for de administrador.

Ainda segundo Felix, se o aplicativo já estiver instalado mas o usuário atual não for administrador, eles usam uma ferramenta auxiliar chamada zoomAutenticationTool e a API5Application programming interface, ou interface de programação de aplicações. AuthorizationExecuteWithPrivileges para gerar um prompt de senha identificando como sistema(!) para obter acesso raiz.

Isso não chega a ser algo malicioso, mas Felix classificou como “muito obscuro e amargo”, já que o aplicativo é instalado sem que o usuário dê seu consentimento final e um prompt altamente enganoso seja usado para obter privilégios de root. Basicamente, estamos falando de um truque usado por alguns malwares para macOS. 😳

Publicidade

Que coisa…

via 9to5Mac

Atualização, por Rafael Fischmann 02/04/2020 às 15:40

Até que os caras foram rápidos. Em um update liberado hoje, no dia em que a Zoom anunciou que está agora 100% focada em resolver problemas de segurança/privacidade, ela afirma já ter consertado essa falha no instalador do aplicativo para macOS.

A atualização remove a técnica obscura de “pré-instalação” e a falsa caixa de diálogo de senha, passando a funcionar como sempre deveria.

O caminho é esse.

via The Verge

Notas de rodapé

  • 1
    Transmission control protocol, ou protocolo de controle de transmissão.
  • 2
    User datagram protocol, ou protocolo de datagrama do usuário.
  • 3
    Transport layer security, ou segurança da camada de transporte.
  • 4
    Advanced encryption standard, ou Padrão de criptografia avançada.
  • 5
    Application programming interface, ou interface de programação de aplicações.

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

Novos iPads Pro com celular que chegarão ao Brasil não serão os vendidos nos EUA

Próx. Post

iOS 13.4.5 beta traz mais indícios do “iPhone 9”; aparelho poderá ser compatível com a CarKey

Posts Relacionados