Get best of the week

Zoom - negligência banal ou espionagem direcionada?



No meio do período de auto-isolamento, o famoso aplicativo de conferência americano Zoom, cuja popularidade devido à transição maciça para trabalho e treinamento à distância, aumentou vinte vezes no mês passado, tornou-se o foco das atenções, e o Zoom se tornou um primeiro lugar confiante nos Estados Unidos em termos de downloads . No entanto, ele atraiu a atenção não tanto com um aumento no número de usuários, mas com escândalos relacionados ao vazamento maciço de dados corporativos e pessoais dos usuários de Zoom na rede social Facebook, bem como milhares de registros de videoconferências pessoais mesclados em acesso aberto no YouTube e Vimeo.

O que é o Zoom e como ele funciona?


O principal objetivo do Zoom é realizar videoconferências, e o aplicativo fornece suporte para transmissão de vídeo em qualidade HD e, ao mesmo tempo, conecta até cem participantes à conversa. Além disso, os usuários adoram este programa pela possibilidade de compartilhar a tela e criar bate-papos, onde você pode não apenas anexar vários anexos, mas também trabalhar com serviços em nuvem populares como Google Disc e Dropbox. Além disso, o aplicativo permite abrir o acesso à tela de um dispositivo móvel (função de compartilhamento). Entre as fichas extras, há também o recurso "levante a mão" durante uma conversa para fazer uma pergunta.

Mas, apesar da boa funcionalidade, o Zuma tem grandes problemas para garantir a privacidade do usuário. Portanto, o aplicativo não suporta criptografia de dados de ponta a ponta e possui outras falhas graves de segurança que surgiram apenas porque algumas funções foram adicionadas.



Rastreamento de atenção dos participantes: Estou seguindo você


Por exemplo, a função Rastreamento de atenção do participante permite calcular aqueles que são distraídos da conversa por questões estranhas. Obviamente, isso parece útil para executivos e treinadores da empresa, mas as desvantagens dessa função são muito mais graves, pois utiliza rastreadores de rastreamento (scripts que executam monitoramento remoto de todos os participantes), que permitem ao programa “ignorar as configurações de segurança no navegador e realizar monitoramento inconsistente de pelo usuário e suas ações através da webcam ”, que levantou repetidamente perguntas de especialistas sobre a proteção de dados pessoais.

Depois de ouvir as críticas do Attendee Attention Tracking por especialistas em segurança cibernética, os desenvolvedores da Zoom Video Communications decidiram se livrar desse recurso, conforme relatado no site do aplicativo : "Em 2 de abril de 2020, removemos o recurso de rastreamento de atenção do usuário para garantir a segurança e a privacidade de nossos clientes" .

Facebook SDK: Zuckerberg bate, bate, bate


Outro problema que os desenvolvedores de aplicativos tiveram que resolver para recuperar a confiança do usuário foi que o Zoom transmitia automaticamente uma série de dados ao Facebook, que analisa e usa as informações recebidas para fins publicitários: de acordo com o DuckDuckGo (um mecanismo de pesquisa que se opõe ao rastreamento dados do usuário), os rastreadores de publicidade do Facebook são colocados em 36% de todos os sites da Internet e, neste indicador, perdem apenas para o Google, com seus 85%.

Quais dados do usuário o Zoom transmitiu? Primeiro de tudo, a hora de entrar no aplicativo, a localização do usuário, o tipo de dispositivo. Também entre as informações enviadas, estava o ID da publicidade, segundo o qual sites relacionados ao Facebook exibem anúncios direcionados ao usuário.

Mas o problema para os desenvolvedores do Zoom era que o aplicativo iOS enviava dados do “Facebook” não apenas sobre usuários que tinham contas nessa rede social, mas também sobre aqueles que não estavam registrados no Facebook, e o último foi escrito no contrato do usuário não havia nenhuma forma, isto é, o fato de transmissão não autorizada de informações é evidente: leitura, espionagem.

Zoom respondeu às reclamações dos usuários e os desenvolvedores removeram o código do SDK do Facebook de seu programa, mas os americanos começaram a entrar com ações judiciais contra a empresa em grandes números, acusando-a de violar as leis locais de transferência de dados. Os proprietários do Zuma não levaram em conta uma coisa simples: o rastreamento do Facebook é desativado somente após a atualização do aplicativo, portanto a empresa teve que obrigar todos os seus clientes a usar a nova versão do Zoom.

Confidencialidade? Não não ouvi


A remoção do Attendee Attention Tracking e do Facebook SDK do aplicativo é louvável, embora tardia, iniciativas da Zoom Video Communications, mas isso não resolveu o problema de segurança: o fato é que o Zoom tem uma carroça e um carrinho pequeno.

Portanto, a política de privacidade de Zoom afirma explicitamente que os parceiros de publicidade (por exemplo, Google Ads e Google Analytics) do serviço coletam automaticamente "algumas informações" sobre os usuários quando usam os produtos da empresa. E que tipo de informação não está especificada. Aqui está o que Doc Searls, um dos pesquisadores de segurança de computadores, escreve sobre isso:

“O Zoom está engajado em publicidade e, no pior dos casos, a empresa vive dos dados pessoais coletados dos usuários. Mas ainda mais assustador é o fato de o Zoom poder coletar uma grande quantidade de dados íntimos e privados (por exemplo, a conversa de um médico com um paciente), e nenhum dos participantes da conversa está ciente disso. ” Além disso: "Se o seu navegador se preocupa com a privacidade (por exemplo, Brave, Firefox ou Safari), provavelmente bloqueará os rastreadores de publicidade, no entanto, no Zoom, você não poderá determinar se seus dados pessoais estão sendo coletados e como isso acontece" .

Em seguida, o especialista indica que, até recentemente, na Zoom não era possível recusar coletar dados pessoais sobre você e vendê-los a terceiros (há uma violação não apenas da confidencialidade, mas também da segurança):

"A política de privacidade atual do Zoom parece ainda pior do que" você não tem privacidade aqui "", resume o especialista e fornece uma definição rígida da política de zoom em relação aos usuários: "Abrimos seus pescoços virtuais para vampiros da informação que podem fazer qualquer coisa com eles, o que eles quiserem. " (literalmente: expomos seus pescoços virtuais a vampiros de dados que podem fazer o que quiserem com ele ).

Atualização da Política de Privacidade


Uma enxurrada de críticas ainda obrigou a Zoom Video Communications a revisar sua política de privacidade e, em 29 de março, apareceu uma versão atualizada do texto (https://zoom.us/privacy), que no início afirma explicitamente: “Nós não vendemos seus dados pessoais. Seja você uma empresa, instituição educacional ou usuário individual, não vendemos seus dados. ”

O próximo ponto importante: “Suas reuniões são apenas suas. Nós não os rastreamos nem os armazenamos após a reunião, a menos que o organizador da conferência os grave e os salve. ”

Outra coisa interessante: "O Zoom coleta apenas os dados do usuário necessários para fornecer serviços de Zoom a você ... Por exemplo, coletamos informações como o endereço IP do usuário e informações sobre o sistema operacional e o dispositivo ..."

E finalmente: “Nós não usamos os dados que recebemos do uso de nossos programas para qualquer publicidade. Usamos os dados que recebemos quando você visita nossos sites comerciais, como zoom.us e zoom.com. Você pode controlar suas próprias configurações de cookies quando visitar nossos sites comerciais. ”

Seria possível concluir: dizer que os caras são ótimos e recomendar o Zoom atualizado a todos que se preocupam com a segurança na Internet, mas há uma nuance aqui e, ao contrário da piada conhecida, nem mesmo uma.

Outras vulnerabilidades


Um grande problema aguarda os usuários do Windows, dos quais a grande maioria no mundo. Acontece que o Zoom converte caminhos UNC em links, ou seja, caminhos ... em arquivos no Windows. (https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/). Usando esses links que contêm imagens, gravações de áudio e outros arquivos de mídia, não será difícil para um hacker quebrar hashes e obter acesso às credenciais de usuário do Zoom. A empresa está ciente dessa vulnerabilidade, mas até o momento não houve correções no código do aplicativo.

Anteriormente, "Zoom" recebeu outro golpe baixinho no site de investigação The Intercept, onde em 31 de março apareceu um artigo que os vídeos no Zoom não tinham criptografia adequada e que a própria empresa podia ver as sessões de comunicação de seus usuários. E a falta de criptografia de ponta a ponta leva à possibilidade de que pessoas de fora possam interferir nas conversas: em 2020, o chamado "Zoombombing" se tornou muito popular, quando estranhos "abriram" várias classes e videoconferências corporativas com o objetivo humorístico de organizar "brincadeiras" e transformar transmissões em caos ( incluindo a transmissão de conteúdo pornográfico para todo o público). É fácil adivinhar que esses empates são a coisa mais inofensiva que pode acontecer aos usuários no Zoom.

Zumovskaya “morango” e Elon Musk


Outro dia, a edição americana do Washington Post relatou milhares de conversas sobre o Zoom que eram de domínio público, publicadas no YouTube e no Vimeo. Os jornalistas da publicação, depois de assistirem a esses materiais, relataram que várias conversas "mescladas" à rede contêm informações confidenciais: nomes, números de telefone, listas de empregos, demonstrações financeiras de empresas privadas, além de dados pessoais de crianças que foram destacadas em aulas on-line que agora são realizadas em massa em todo o mundo devido à quarentena. Em muitos vídeos, conversas íntimas e profundamente pessoais são conduzidas e até a nudez é apresentada (como, por exemplo, um professor ensinando sobre depilação em um dos bate-papos).

A situação é ainda mais agravada pelo fato de que mesmo registros ocultos podem ser visualizados nos servidores da Zuma: usuários inteligentes podem abrir vídeos aleatórios usando numeração padrão, que Zoom indica todos os seus materiais. Ao mesmo tempo, muitas das vítimas que apareceram no vídeo, com as quais os repórteres do Washington Post conseguiram se comunicar, afirmaram que nem imaginavam como suas conversas particulares poderiam chegar ao domínio público.

Mesmo antes dos escândalos com a "descarga" de vídeo na rede, Ilon Mask proibiu seus funcionários de usar o Zoom. O chefe das empresas SpaceX e Tesla observou que o serviço tem sérios problemas com privacidade e segurança e recomendou o uso de e-mail e telefone para comunicação corporativa. Os executivos da SpaceX bloquearam o acesso do Zoom a seus funcionários em 28 de março de 2020.

NASA e Google também contra o Zoom


A porta-voz da NASA, Stephanie Schierholz, disse no mesmo dia que a agência espacial dos EUA também proíbe seus funcionários de usar o Zoom, e em 30 de março a agência do FBI Boston emitiu um aviso sobre o uso do Zoom: os funcionários eram proibidos de fazer reuniões no site público ou compartilhar links.

Das últimas notícias para o Zuma que não foram alegres: o Google abandonou o aplicativo de desktop Zoom. A Reuters relata que o Google baniu o uso do aplicativo nos laptops de seus funcionários desde 8 de abril, citando preocupações de segurança do Zoom. José Castaneda, representante da empresa que gerencia o maior mecanismo de busca do mundo, disse: “Recentemente, nosso serviço de segurança informou aos funcionários que usam o Zoom Desktop Client que este programa não será mais suportado em computadores corporativos porque não atende aos nossos padrões de segurança para aplicativos usados ​​pelos funcionários da empresa. . No entanto, o Google ainda permite o uso do Zoom através de aplicativos e navegadores móveis .

Eles prometeram consertar ...


A Zoom Video Communications afirma que surgiram problemas com o vazamento de dados porque os servidores de aplicativos não estavam prontos para esse fluxo de usuários no mês passado. E o CEO da empresa, Eric Yuan, falou em detalhes sobre isso em seu blog e acrescentou que eles têm muito trabalho a fazer para restaurar a confiança das pessoas ( link ).

Bem, desejamos boa sorte aos caras!

More articles:


All Articles