Zoom pode ser varrido por software que captura até 100 IDs de reuniões por hora
Por Rafael Arbulu | 06 de Abril de 2020 às 09h55
O aumento na popularidade do Zoom acabou saindo pela culatra para os gestores da empresa, que viram uma série de problemas de segurança e privacidade serem expostos pela mídia. E a situação parece não ter acabado: um grupo de pesquisa em cibersegurança intitulado SecKC, junto do expert no assunto, Trent Lo, desenvolveram uma ferramenta automatizada capaz de “adivinhar” os números de identificação de reuniões feitas pelo aplicativo.
O app, chamado de “zWarDial”, tem a capacidade de descobrir até 100 IDs de reuniões por hora, ou 2,4 mil reuniões por dia. Segundo Lo, a ferramenta tem 14% de chance de descobrir uma identificação exata de reunião virtual por tentativa. O número parece baixo, mas é importante considerar que o zWarDial é capaz de fazer milhares de tentativas por hora, o que eleva consideravelmente as preocupações com a segurança do Zoom. Cada ID, vale citar, tem entre nove e 11 dígitos exclusivos. Ao adivinhar uma ID, o zWarDial é capaz de extrair informações como o link da reunião, data e hora de sua realização, o usuário organizador e o conteúdo a ser discutido nela.
Até mesmo o mecanismo de bloqueio de tentativas de escaneamento de IDs, desenvolvido em janeiro pela Check Point Research, é totalmente ineficaz contra o zWarDial, pois o app roteia as tentativas do mecanismo por meio da rede anônima Tor, o que impossibilita determinar sua origem ou seu volume.
A única ressalva é que o zWarDial não consegue escanear reuniões que sejam protegidas por senha. Os gestores do Zoom alegaram, no passado, que reuniões novas possuem proteção por senha como padrão, mas o fato de o app desenvolvido pelo SecKC encontrar e extrair informações de milhares delas por dia sugere o contrário. Assim sendo, é recomendável que usuários façam a inserção de senha para suas reuniões manualmente — o organizador pode fazer isso pelo menu de configurações do aplicativo.
- Leia mais: Hackers estão invadindo conferências do Zoom para exibir pornografia
- Leia mais: App de vídeochamadas Zoom é acusado de propaganda enganosa sobre criptografia
Este é apenas mais um problema a compor a miríade de dificuldades relacionadas a cibersegurança enfrentadas pelo Zoom. Desde sua ascensão, o aplicativo de videochamadas teve de conter crises relacionadas ao compartilhamento de dados de seus usuários com o Facebook, hackers invadindo reuniões para bombardeá-las com spams de pornografia, além de o próprio app confirmar ao site americano The Intercept que sua criptografia não é “de ponta a ponta” (E2E), ao contrário do que eles próprios afirmam em seu site oficial e white paper.
O Zoom anunciou na semana passada que paralisaria o lançamento de novos recursos e funções para se dedicar exclusivamente à resolução dos problemas de segurança.
Fonte: The Verge