Bug no compartilhamento de tela do Zoom pode revelar dados sensíveis
Por Ramon de Souza | Editado por Patricia Gnipper | 19 de Março de 2021 às 22h30
A dupla de pesquisadores Michael Strametz e Matthias Deeg, da empresa de segurança SySS, emitiram um alerta para uma falha de segurança bastante curiosa identificada na plataforma de videoconferências Zoom. Os especialistas perceberam que o software possui um bug em seu recurso de compartilhamento de tela — amplamente usado pelos usuários do serviço — que pode ser explorado para roubar informações confidenciais… Ou simplesmente deixar o anfitrião de uma reunião em uma situação desconfortável.
- Zoom responde críticas e reforça segurança de chamadas e senhas
- Zoom ativará finalmente a criptografia de ponta a ponta na próxima semana
- Zoom é acusado de enganar usuários sobre criptografia e proteção de dados
O que acontece é o seguinte: quando o usuário clica no botão para compartilhar sua tela, são apresentadas as opções de visualizar o display por completo, uma área específica do monitor ou apenas uma janela de algum aplicativo. Nesta terceira alternativa, o programa exibe — por uma fração de segundos — outras janelas que porventura sejam abertas ou fechadas pelo anfitrião. Tais conteúdos podem conter credenciais, arquivos sensíveis, propriedades intelectuais ou simplesmente fotos pessoais do internauta.
Claro, estamos falando de uma brecha difícil de ser explorada. Primeiramente, o ator malicioso precisa estar participando da reunião e gravando tudo o que acontece nela. Só assim, posteriormente, o atacante poderia retroceder sua gravação até o momento em que a janela intrusa apareceu na tela, pausar o vídeo e extrair as eventuais informações sensíveis que poderiam estar ali. Trata-se de um risco de insider malicioso — ou seja, um colaborador interessado em praticar espionagem corporativa.
O problema é que tal bug parece ser um tanto velho, e, mesmo com a notificação dos pesquisadores, o Zoom ainda não corrigiu o problema na compilação mais recente do software (5.5.4). Ao jornal Threatpost, a companhia prometeu trabalhar em uma correção, mas não citou datas. Enquanto isso, vale a pena tomar cuidado com as janelas abertas em seu desktop enquanto realiza uma apresentação pelo Zoom.
Fonte: Tom's Guide