O melhor pedaço da Maçã.
MM News

Receba os nossos principais artigos diariamente, por email.

Videochamadas do Zoom
Business Insider

Zoom não oferece criptografia de ponta a ponta; app é comparado a “malware” [atualizado]

O app de videoconferência Zoom já acumula um par de polêmicas envolvendo privacidade, sendo o primeiro deles de meados do ano passado (já resolvido pela empresa). O segundo, entretanto, foi divulgado há alguns dias, quando o Motherboard informou que o app estava enviando dados de análise para o Facebook mesmo que o usuário não tivesse uma conta na rede social.

Publicidade

Como se não bastasse tudo isso, agora a plataforma é acusada mais uma vez de falhar com a privacidade dos seus usuários: aparentemente, as chamadas do Zoom não são criptografadas de ponta a ponta, apesar de o app e seus materiais de marketing promoverem o contrário. A descoberta foi feita pelo The Intercept.

O Zoom, serviço de videoconferência cujo uso disparou em meio à pandemia da COVID-19, afirma implementar criptografia de ponta a ponta, amplamente entendida como a forma mais privada de comunicação na internet, protegendo as conversas de todas as partes externas. De fato, o Zoom está usando sua própria definição do termo, uma que permite ao próprio Zoom acessar vídeo e áudio não criptografado das reuniões.

Como destacado na reportagem, a definição padrão de criptografia de ponta a ponta significa que nenhum agente externo pode acessar uma conversa (nem mesmo depois de ela ter acabado). Nesse sentido, embora o Zoom afirme usar esse tipo de tecnologia, as chamadas são criptografas apenas durante uma transmissão, o que é conhecido como “criptografia de transporte”; ou seja, após uma chamada, os servidores da plataforma podem descriptografar as chamadas recebidas e ver todos os participantes, se a empresa quiser.

Esse tipo de criptografia não é diferente de navegar na web por HTTPS: sua conexão com o servidor está protegida, mas o conteúdo pode ser descriptografado e acessado pelo servidor. Obviamente, o Zoom disse que não faz isso e simplesmente usa o servidor para “recodificar a conexão com os destinatários da chamada”.

Publicidade

Em resposta à alegação do The Intercept, um porta-voz do Zoom afirmou que não é possível, de fato, ativar a criptografia de ponta a ponta em videochamadas — porém com mais termos técnicos:

As videoconferências do Zoom usam uma combinação de TCP1 e UDP2. As conexões TCP são feitas usando TLS3 e as conexões UDP são criptografadas com o AES4 usando uma chave em uma conexão TLS.

O FaceTime, por outro lado, sempre foi criptografado de ponta a ponta. Até mesmo as chamadas em grupo, lançadas em 2018, são seguras nesse sentido — tanto é que o FaceTime continua sendo o único app de chamada por vídeo que suporta criptografia de ponta a ponta em ligações com até 32 participantes.

Apesar disso, o FaceTime exige que todos na chamada usem um iPhone, iPad, iPod touch ou Mac — diferentemente do Zoom. Além disso, o FaceTime não possui os principais recursos de videoconferência corporativa, como a opção de compartilhar a tela de um computador; logo, o que o serviço da Maçã tem de segurança, perde em funcionalidade (em comparação com outras plataformas).

Críticas ao instalador do app no macOS

Para completar, o método de instalação do Zoom foi questionado por Felix, líder técnico da VMRay, como podemos ver abaixo:

Publicidade

De acordo com ele, o instalador do Zoom no macOS funciona mesmo sem você clicar em instalar. Como? Eles usam scripts de pré-instalação, descompactam manualmente o aplicativo usando um arquivo 7-Zip incluído e instalam o app na pasta Aplicativos se a conta do usuário for de administrador.

Ainda segundo Felix, se o aplicativo já estiver instalado mas o usuário atual não for administrador, eles usam uma ferramenta auxiliar chamada zoomAutenticationTool e a API5 AuthorizationExecuteWithPrivileges para gerar um prompt de senha identificando como sistema(!) para obter acesso raiz.

Isso não chega a ser algo malicioso, mas Felix classificou como “muito obscuro e amargo”, já que o aplicativo é instalado sem que o usuário dê seu consentimento final e um prompt altamente enganoso seja usado para obter privilégios de root. Basicamente, estamos falando de um truque usado por alguns malwares para macOS. 😳

Publicidade

Que coisa…

via 9to5Mac

Atualização, por Rafael Fischmann 02/04/2020 às 15:40

Até que os caras foram rápidos. Em um update liberado hoje, no dia em que a Zoom anunciou que está agora 100% focada em resolver problemas de segurança/privacidade, ela afirma já ter consertado essa falha no instalador do aplicativo para macOS.

A atualização remove a técnica obscura de “pré-instalação” e a falsa caixa de diálogo de senha, passando a funcionar como sempre deveria.

O caminho é esse.

via The Verge

Ver comentários do post

Carregando os comentários…
Artigo Anterior
iPad Pro

Novos iPads Pro com celular que chegarão ao Brasil não serão os vendidos nos EUA

Próximo Artigo
CarKey

iOS 13.4.5 beta traz mais indícios do "iPhone 9"; aparelho poderá ser compatível com a CarKey

Posts Relacionados