Princípios importantes
- A Comissão Federal de Comércio dos EUA anunciou em 9 de novembro que havia chegado a um acordo com o Zoom depois de alegar que enganou os usuários em relação à segurança.
- O acordo exige que o Zoom implemente um "programa de segurança abrangente".
- Zoom diz que já abordou os problemas e anunciou recentemente que introduziria criptografia de ponta a ponta.
A popular plataforma de conferência Zoom está reforçando suas práticas de segurança como parte de um acordo com a Comissão Federal de Comércio dos EUA (FTC), após as alegações da agência de que enganou os usuários sobre seu nível de segurança.
Zoom tornou-se um nome familiar em questão de apenas alguns meses, com o mundo recorrendo à sua plataforma de videoconferência devido à pandemia, limitando severamente as reuniões presenciais. No entanto, uma reclamação da FTC alegou que o Zoom "se envolveu em uma série de práticas enganosas e injustas que prejudicaram a segurança de seus usuários".
Isso seguiu o escrutínio de especialistas em segurança no início deste ano, que descobriram que a plataforma não estava usando criptografia de ponta a ponta, apesar das alegações de marketing. O Zoom também viu outros problemas de segurança durante seu aumento de popularidade, como participantes indesejados interrompendo reuniões em uma prática chamada "zoombombing". Como parte do acordo da FTC, a Zoom se comprometeu a implementar um "programa de segurança abrangente".
"Durante a pandemia, praticamente todos - famílias, escolas, grupos sociais, empresas - estão usando videoconferência para se comunicar, tornando a segurança dessas plataformas mais crítica do que nunca", Andrew Smith, diretor do Bureau of Consumer da FTC Proteção diz no comunicado de imprensa da agência.
"As práticas de segurança do Zoom não estão de acordo com suas promessas, e essa ação ajudará a garantir que as reuniões do Zoom e os dados sobre os usuários do Zoom sejam protegidos."
Escrutínio do Governo
A reclamação da FTC alega que o Zoom enganou seus usuários sobre vários problemas relacionados à segurança, o mais importante dos quais está relacionado a reivindicações feitas sobre criptografia de ponta a ponta.
Ele disse que o Zoom afirma oferecer criptografia de 256 bits de ponta a ponta para chamadas do Zoom desde 2016, mas realmente fornece um nível mais baixo de segurança. Quando a criptografia de ponta a ponta está habilitada, apenas os participantes de uma chamada ou bate-papo têm acesso às informações trocadas, não o Zoom, o governo ou qualquer outra parte.
Além disso, a denúncia alega que o Zoom armazenou reuniões gravadas e não criptografadas em seus servidores por até 60 dias, quando informou a alguns de seus usuários que seriam criptografados imediatamente.
Outro problema está relacionado ao software para Mac chamado ZoomOpener, que permaneceu nos computadores dos usuários mesmo ao excluir o Zoom e poderia torná-los vulneráveis a hackers. "Este software ignorou uma configuração de segurança do navegador Safari e colocou os usuários em risco - por exemplo, poderia ter permitido que estranhos espionassem os usuários através das câmeras da web de seus computadores", explica o especialista em educação do consumidor da FTC, Alvaro Puig, em uma postagem no blog.
Resposta do Zoom
Embora o Zoom tenha resolvido recentemente a reclamação da FTC, a empresa disse à Lifewire em um e-mail que "já abordou" os problemas.
"A segurança de nossos usuários é uma prioridade para o Zoom", disse um porta-voz da empresa à Lifewire por e-mail. O Zoom tomou várias medidas para responder às alegações da FTC, incluindo o lançamento de um plano de 90 dias em abril que rendeu mais de 100 recursos relacionados à privacidade e segurança.
O Zoom introduziu a criptografia de ponta a ponta no final de outubro, possibilitada pela aquisição em maio de uma empresa chamada Keybase. A criptografia de ponta a ponta ainda está no que o Zoom chama de modo de "visualização técnica", e a empresa diz que os servidores do Zoom não têm acesso às chaves de criptografia. Por enquanto, alguns recursos são restritos no modo de criptografia de ponta a ponta, incluindo a capacidade de participar da reunião antes do organizador e das salas de reunião.
Como usar a criptografia de ponta a ponta do Zoom
O professor de ciência da computação da Universidade do Alabama em Birmingham, Nitesh Saxena, diz que os esforços de Zoom para implementar um verdadeiro sistema de criptografia de ponta a ponta é um "passo na direção certa", mas observa que ainda há trabalho a fazer.
"Há problemas significativos que precisam ser resolvidos antes que isso possa realmente fornecer o nível de segurança que os usuários podem exigir das chamadas do Zoom", diz ele.
Saxena, que estudou extensivamente a segurança do Zoom, diz que a segurança de seu método de criptografia de ponta a ponta depende, em última análise, do processo usado para validar as chaves criptográficas dos participantes da reunião (um passo fundamental para manter os intrusos fora da chamada).
Neste caso, os próprios usuários verificam isso antes de iniciar a reunião. Na primeira fase do protocolo de criptografia de ponta a ponta do Zoom, o organizador da reunião lê um código de 39 dígitos que os outros devem verificar na tela.
As práticas de segurança do Zoom não cumpriram suas promessas, e essa ação ajudará a garantir que as reuniões do Zoom e os dados sobre os usuários do Zoom estejam protegidos.
De acordo com a pesquisa de Saxena e sua equipe, essa abordagem pode estar sujeita a erro humano se alguém não estiver prestando atenção e acidentalmente aceitar um código que não corresponde ou pular o processo completamente.
Além disso, os organizadores e participantes da reunião devem certificar-se de ativar a criptografia de ponta a ponta antes de iniciar a reunião, pois ela não está ativada por padrão. A pesquisa de Saxena também descobriu que os tipos de códigos numéricos que o Zoom está usando também podem ser propensos a um certo tipo de ataque.
Assim, os usuários do Zoom podem sentir algum alívio porque a plataforma já abordou os principais problemas de segurança levantados pela reclamação da FTC e agora oferece a primeira fase de criptografia de ponta a ponta. No entanto, os participantes da conferência devem estar cientes de que o uso correto do novo modo de criptografia de ponta a ponta requer atenção extra na hora do processo de validação do código no início da chamada.
