O que os esforços de segurança da Zoom significam para você

Principais vantagens

• A Comissão Federal de Comércio dos Estados Unidos anunciou em 9 de novembro que havia chegado a um acordo com a Zoom após alegar que ela enganou os usuários em relação à segurança.
• O acordo exige que a Zoom implemente um “programa de segurança abrangente”.
• A Zoom diz que já tratou dos problemas e recentemente anunciou que introduziria a criptografia de ponta a ponta.

A popular plataforma de conferência Zoom está reforçando suas práticas de segurança como parte de um acordo com a Comissão Federal de Comércio dos Estados Unidos (FTC), após as alegações da agência de que ela enganou os usuários sobre seu nível de segurança. Zoom se tornou um nome familiar em questão de apenas alguns meses, com o mundo voltando-se para sua plataforma de videoconferência devido à pandemia que limita severamente as reuniões pessoais. No entanto, uma reclamação da FTC alegou que a Zoom “se envolveu em uma série de práticas enganosas e injustas que minaram a segurança de seus usuários”. Isso ocorreu após o exame minucioso de especialistas em segurança no início deste ano, que descobriram que a plataforma não estava usando criptografia de ponta a ponta, apesar das alegações de marketing. O Zoom também viu outros problemas de segurança durante seu aumento de popularidade, como participantes indesejados interrompendo reuniões em uma prática chamada “zoombombing”. Como parte do acordo da FTC, a Zoom se comprometeu a implementar um “programa de segurança abrangente”. “Durante a pandemia, praticamente todo mundo – famílias, escolas, grupos sociais, empresas – está usando videoconferência para se comunicar, tornando a segurança dessas plataformas mais crítica do que nunca”, disse Andrew Smith, diretor do Bureau de Proteção ao Consumidor da FTC na agência Comunicado de imprensa. “As práticas de segurança do Zoom não cumpriram suas promessas e essa ação ajudará a garantir que as reuniões do Zoom e os dados sobre os usuários do Zoom sejam protegidos.”

Escrutínio do Governo

A reclamação da FTC alega que o Zoom enganou seus usuários sobre várias questões relacionadas à segurança, a mais importante das quais se relaciona a alegações feitas sobre criptografia de ponta a ponta.

Ele disse que o Zoom tem afirmado oferecer criptografia ponta a ponta de 256 bits para chamadas do Zoom desde 2016, mas realmente forneceu um nível inferior de segurança. Quando a criptografia de ponta a ponta está habilitada, apenas os participantes de uma chamada ou bate-papo têm acesso às informações trocadas – não a Zoom, o governo ou qualquer outra parte. Além disso, a denúncia alega que a Zoom armazenou reuniões gravadas e não criptografadas em seus servidores por até 60 dias, quando disse a alguns de seus usuários que seriam criptografadas imediatamente. Outro problema está relacionado ao software Mac chamado ZoomOpener, que ficava nos computadores dos usuários mesmo quando o Zoom era excluído e poderia torná-los vulneráveis ​​a hackers. “Este software contornou uma configuração de segurança do navegador Safari e colocou os usuários em risco – por exemplo, poderia ter permitido que estranhos espionassem os usuários através das câmeras da web de seus computadores”, explica o especialista em educação do consumidor da FTC, Alvaro Puig, em uma postagem no blog.

Resposta de Zoom

Embora o Zoom só recentemente tenha resolvido a reclamação da FTC, a empresa disse Lifewire em um e-mail informando que “já tratou” dos problemas. “A segurança de nossos usuários é uma das principais prioridades da Zoom”, disse um porta-voz da empresa Lifewire em um e-mail. A Zoom tomou várias medidas para responder às alegações da FTC, incluindo o lançamento de um plano de 90 dias em abril, que rendeu mais de 100 recursos relacionados à privacidade e segurança.

A Zoom introduziu a criptografia ponta a ponta no final de outubro, possibilitada pela aquisição, em maio, de uma empresa chamada Keybase. A criptografia de ponta a ponta ainda está no que Zoom chama de modo de “visualização técnica”, e a empresa diz que os servidores da Zoom não têm acesso às chaves de criptografia. Por enquanto, alguns recursos são restritos no modo de criptografia de ponta a ponta, incluindo a capacidade de ingressar na reunião antes do host e nas salas de sessão de grupo.

Como usar a criptografia de ponta a ponta do Zoom

O professor de ciência da computação da Universidade do Alabama em Birmingham, Nitesh Saxena, diz que os esforços da Zoom para implementar um verdadeiro sistema de criptografia ponta a ponta é um “passo na direção certa”, mas observa que ainda há trabalho a ser feito. “Existem questões significativas que precisam ser tratadas antes que isso possa realmente fornecer o nível de segurança que os usuários podem exigir das chamadas do Zoom”, diz ele. Saxena, que estudou extensivamente a segurança do Zoom, diz que a segurança de seu método de criptografia ponta a ponta, em última análise, depende do processo usado para validar as chaves criptográficas dos participantes da reunião (uma etapa fundamental para manter os bisbilhoteiros fora da chamada). Nesse caso, os próprios usuários verificam isso antes de iniciar a reunião. Na primeira fase do Zoom de seu protocolo de criptografia de ponta a ponta, o organizador da reunião lê um código de 39 dígitos que os outros devem verificar em sua tela. “As práticas de segurança do Zoom não cumpriram suas promessas e essa ação ajudará a garantir que as reuniões do Zoom e os dados sobre os usuários do Zoom sejam protegidos.” De acordo com a pesquisa de Saxena e sua equipe, essa abordagem pode estar sujeita a erro humano se alguém não estiver prestando atenção e aceitar acidentalmente um código que não corresponda ou pular o processo completamente. Além disso, os hosts e participantes da reunião devem se certificar de que habilitaram a criptografia de ponta a ponta antes de iniciar a reunião, pois ela não está ativada por padrão. A pesquisa de Saxena também descobriu que os tipos de códigos numéricos que Zoom está usando também podem estar sujeitos a um certo tipo de ataque. Assim, os usuários do Zoom podem sentir algum alívio porque a plataforma já tratou dos principais problemas de segurança levantados pela reclamação da FTC e agora oferece a primeira fase de criptografia ponta a ponta. No entanto, os participantes da conferência devem estar cientes de que o uso correto do novo modo de criptografia ponta a ponta requer atenção extra quando chegar a hora do processo de validação do código no início da chamada.