O app de videoconferência Zoom já acumula um par de polêmicas envolvendo privacidade, sendo o primeiro deles de meados do ano passado (já resolvido pela empresa). O segundo, entretanto, foi divulgado há alguns dias, quando o Motherboard informou que o app estava enviando dados de análise para o Facebook mesmo que o usuário não tivesse uma conta na rede social.
Como se não bastasse tudo isso, agora a plataforma é acusada mais uma vez de falhar com a privacidade dos seus usuários: aparentemente, as chamadas do Zoom não são criptografadas de ponta a ponta, apesar de o app e seus materiais de marketing promoverem o contrário. A descoberta foi feita pelo The Intercept.
O Zoom, serviço de videoconferência cujo uso disparou em meio à pandemia da COVID-19, afirma implementar criptografia de ponta a ponta, amplamente entendida como a forma mais privada de comunicação na internet, protegendo as conversas de todas as partes externas. De fato, o Zoom está usando sua própria definição do termo, uma que permite ao próprio Zoom acessar vídeo e áudio não criptografado das reuniões.
Como destacado na reportagem, a definição padrão de criptografia de ponta a ponta significa que nenhum agente externo pode acessar uma conversa (nem mesmo depois de ela ter acabado). Nesse sentido, embora o Zoom afirme usar esse tipo de tecnologia, as chamadas são criptografas apenas durante uma transmissão, o que é conhecido como “criptografia de transporte”; ou seja, após uma chamada, os servidores da plataforma podem descriptografar as chamadas recebidas e ver todos os participantes, se a empresa quiser.
Esse tipo de criptografia não é diferente de navegar na web por HTTPS: sua conexão com o servidor está protegida, mas o conteúdo pode ser descriptografado e acessado pelo servidor. Obviamente, o Zoom disse que não faz isso e simplesmente usa o servidor para “recodificar a conexão com os destinatários da chamada”.
Em resposta à alegação do The Intercept, um porta-voz do Zoom afirmou que não é possível, de fato, ativar a criptografia de ponta a ponta em videochamadas — porém com mais termos técnicos:
As videoconferências do Zoom usam uma combinação de TCP1Transmission control protocol, ou protocolo de controle de transmissão. e UDP2User datagram protocol, ou protocolo de datagrama do usuário.. As conexões TCP são feitas usando TLS3Transport layer security, ou segurança da camada de transporte. e as conexões UDP são criptografadas com o AES4Advanced encryption standard, ou Padrão de criptografia avançada. usando uma chave em uma conexão TLS.
O FaceTime, por outro lado, sempre foi criptografado de ponta a ponta. Até mesmo as chamadas em grupo, lançadas em 2018, são seguras nesse sentido — tanto é que o FaceTime continua sendo o único app de chamada por vídeo que suporta criptografia de ponta a ponta em ligações com até 32 participantes.
Apesar disso, o FaceTime exige que todos na chamada usem um iPhone, iPad, iPod touch ou Mac — diferentemente do Zoom. Além disso, o FaceTime não possui os principais recursos de videoconferência corporativa, como a opção de compartilhar a tela de um computador; logo, o que o serviço da Maçã tem de segurança, perde em funcionalidade (em comparação com outras plataformas).
Críticas ao instalador do app no macOS
Para completar, o método de instalação do Zoom foi questionado por Felix, líder técnico da VMRay, como podemos ver abaixo:
Ever wondered how the @zoom_us macOS installer does it’s job without you ever clicking install? Turns out they (ab)use preinstallation scripts, manually unpack the app using a bundled 7zip and install it to /Applications if the current user is in the admin group (no root needed). pic.twitter.com/qgQ1XdU11M
— Felix (@c1truz_) March 30, 2020
De acordo com ele, o instalador do Zoom no macOS funciona mesmo sem você clicar em instalar. Como? Eles usam scripts de pré-instalação, descompactam manualmente o aplicativo usando um arquivo 7-Zip incluído e instalam o app na pasta Aplicativos se a conta do usuário for de administrador.
If the App is already installed but the current user is not admin, they use a helper tool called “zoomAutenticationTool” and the AuthorizationExecuteWithPrivileges API to spawn a password prompt identifying as “System” (!!) to gain root (including a typo). pic.twitter.com/gp9DVCoVCm
— Felix (@c1truz_) March 30, 2020
Ainda segundo Felix, se o aplicativo já estiver instalado mas o usuário atual não for administrador, eles usam uma ferramenta auxiliar chamada zoomAutenticationTool
e a API5Application programming interface, ou interface de programação de aplicações. AuthorizationExecuteWithPrivileges
para gerar um prompt de senha identificando como sistema(!) para obter acesso raiz.
This is not strictly malicious but very shady and definitely leaves a bitter aftertaste. The application is installed without the user giving his final consent and a highly misleading prompt is used to gain root privileges. The same tricks that are being used by macOS malware.
— Felix (@c1truz_) March 30, 2020
Isso não chega a ser algo malicioso, mas Felix classificou como “muito obscuro e amargo”, já que o aplicativo é instalado sem que o usuário dê seu consentimento final e um prompt altamente enganoso seja usado para obter privilégios de root. Basicamente, estamos falando de um truque usado por alguns malwares para macOS. 😳
Que coisa…
via 9to5Mac
Atualização, por Rafael Fischmann 02/04/2020 às 15:40
Até que os caras foram rápidos. Em um update liberado hoje, no dia em que a Zoom anunciou que está agora 100% focada em resolver problemas de segurança/privacidade, ela afirma já ter consertado essa falha no instalador do aplicativo para macOS.
A atualização remove a técnica obscura de “pré-instalação” e a falsa caixa de diálogo de senha, passando a funcionar como sempre deveria.
O caminho é esse.
via The Verge
Notas de rodapé
- 1Transmission control protocol, ou protocolo de controle de transmissão.
- 2User datagram protocol, ou protocolo de datagrama do usuário.
- 3Transport layer security, ou segurança da camada de transporte.
- 4Advanced encryption standard, ou Padrão de criptografia avançada.
- 5Application programming interface, ou interface de programação de aplicações.