Open in app

Sign in

Write

Sign in

Abril/2020: como se proteger das vulnerabilidades do Zoom?

Labenu
7 min readApr 4, 2020

--

Recentemente, o Zoom, ferramenta super utilizada para videoconferência, foi alvo de uma série de críticas pelas grandes vulnerabilidades de segurança que seu programa oferece aos usuários. Com a pandemia, o uso do Zoom aumentou significantemente. Essa migração de usuários para a plataforma foi como o surgimento de diversos alvos para invasão de Hackers, que passaram a implementar diversas estratégias de penetração na plataforma. Dessas primeiras tentativas, algumas coisas funcionaram e diversos especialistas começaram a levantar a bandeira dos riscos que a plataforma oferece.

Na Future4, dedicamos algumas das nossas noites recentes para entender e minimizar o impacto disso aos nossos usuários — estudantes que utilizam o Zoom diariamente — , bem como outras pessoas que tenham menos contato com tecnologia. Assim, nós, Soter Pádua, Pedro Darvas e Artur Vilas Boas, resolvemos escrever um pouquinho para orientar as pessoas sobre boas práticas de segurança no uso do Zoom.

Esse post é dividido em 3 partes:

  • Um dossiê de segurança que levantamos internamente acerca das vulnerabilidades técnicas do Zoom.
  • Um plano de ação para minimizar riscos.
  • Um campo de atualização frequente sobre mudanças e implementações.
Photo by Allie Smith on Unsplash

O dossiê: as vulnerabilidades do Zoom expostas

Aqui colocaremos os diversos artigos e discussões sobre as vulnerabilidades do Zoom. Para quem curte o assunto, é um prato cheio. Para quem não curte, você pode só pular para a próxima parte do texto. Além disso, reforçamos que muitos desses conteúdos podem conter exageros, selection bias e outras coisas. É difícil tomar partido: por um lado, o Zoom tem se mostrado ativo em assumir e corrigir falhas (especialmente com o volume de investidores e auditoria que possui atualmente pós IPO); por outro lado, comportamentos capciosos da empresa nos preocupam — pois tais vulnerabilidades são sinalizadas há tempos, sem muita mudança.

Encriptação prometida não é possível de habilitar.

Zoom usando comportamentos comuns de um vírus para injetar código no momento prévio da instalação sem autorização do Usuário. Não é um problema hoje em dia, mas é um vetor sério de ataques.

Ano passado foram pegos novamente usando falhas de segurança do MacOS a serviço dos interesses deles.

Dados esses comportamentos e o boom do zoom sendo usado como plataforma de comunicação, equipes de hackers começaram a usar o Zoom como um trampolim para os seus ataques.

Estão sendo investigados pelo estado de Nova York por essas atitudes.

Links maliciosos sendo criados especificamente para Windows.

Exploit já desenvolvido que permite através das falhas de segurança do zoom tomar conta da câmera e microfone do computador.

Artigo completo de um profissional de segurança que fez a engenharia reversa no instalador do Zoom.

Falhas mais pesadas de privacidade. Cereja do bolo.

Minimizando riscos: do que se trata, e como proteger?

Em resumo, os links acima falam sobre algumas vulnerabilidades principais:

  • Links de calls públicas sendo descobertos. Com isso muitas reuniões foram invadidas, muitas vezes com transmissão de pornografia ou discurso de ódio.
  • O instalador oficial do Zoom se comporta de formas suspeitas e toma atitudes que podem vir a comprometer o computador no futuro.
  • Hackers começaram a usar o Zoom de pretexto para ataques. Exemplo: em uma página maliciosa da internet, o usuário vê “O Zoom precisa de uma atualização, clique aqui” — sendo que na verdade é um link malicioso que abre o programa e executa o ataque em si. Além de outros links enviados em correntes e afins que podem abrir brechas para invasão.
  • Outras falhas menores que permitem acesso à informações como fotos e nome completo em situações específicas nas quais essas informações não deveriam estar disponíveis. Na imagem abaixo, por exemplo, uma chamada do Zoom permitia visualizar o Linkedin do participante.

O Zoom apresenta duas grandes vulnerabilidades, uma mais fácil, e outra um pouco mais complexa. A primeira era o fato de gerar links para chamadas com URL’s aleatórias — e isso permitia que qualquer pessoa pudesse ir testando combinações na força bruta até entrar em salas aleatórias. Essa brecha foi a causadora de diversas situações constrangedoras que vocês devem ter visto sendo noticiadas.

Já a segunda está na forma como o aplicativo estava sendo instalado nos computadores. Buscando dar um bypass nos sistemas operacionais, o app se instalava de maneira capciosa, se comportando quase que como um vírus entrando no seu PC às escuras. Parece que isso facilita o programa a fluir rapidamente e oferecer uma experiência melhor para os usuários — mas, em contrapartida, torna-se um vetor para novas invasões (como se, nesse “arrombar da porta”, ele deixa entrada mais frágil para outros invasores). Ainda assim, para essa brecha ser utilizada, as pessoas precisam adotar posturas mais vulneráveis, como clicar em links estranhos e frequentar locais não seguros (a partir disso, invasores podem usar a brecha do Zoom para entrar no seu PC). Com isso em mente, destacamos algumas estratégias de proteção.

Vulnerabilidade 1: links de fácil invasão

Para evitar as invasões aleatórias, algumas práticas básicas de segurança já ajudam. A primeira delas é configurar opções de segurança pelo site do zoom (com seu login), como pode ser visto abaixo. A senha incorporada no link da reunião já um primeiro bloqueio bastante eficaz.

Além disso, outros ajustes que minimizam problemas:

  • Enviar links de convite diretamente, pessoa por pessoa, não em lugares públicos;
  • Definir uma senha para a sala;
  • Desativar salvamento automático do chat, transferência de arquivos, compartilhamento de tela por não-anfitriões, controle remoto, anotações, opção "entrar antes que o anfitrião";
  • Ativar "sala de espera";
  • Conferir participantes, excluindo estranhos; designar mais de um co-anfitrião para controle; mutar todos os participantes (desativando o microfone assim que entrarem e impedindo que liberem o próprio microfone automaticamente, em caso de seminários que busca-se evitar invasões indevidas).
  • Trancar a sala assim que todos entrarem.

Vulnerabilidade 2: o Zoom como vetor para invasões

Existe sempre o caminho de desinstalar o Zoom e utilizá-lo apenas pelo seu navegador, sendo o melhor impedimento para a vulnerabilidade do Zoom como vetor. Se você ainda assim precisa do Zoom instalado por algum motivo especial, ações que podem ajudar a proteger:

  • Usar Linux. Por ser um sistema operacional com menor número de usuários, e com muitas variações (distribuições), é difícil que um vetor afete a todos os usuários com o mesmo nível de severidade.
  • Proteção física de câmera, como post-its ou bloqueadores oficiais para câmeras de notebooks.
  • Utilizar alguma solução que "mata" o Zoom quando não utilizado. Na Future4 estamos utilizando o Overkill, que impede que o Zoom seja aberto, impedindo qualquer utilização do mesmo como vetor de invasão em boa parte do dia. Quando queremos utilizar o Zoom, é só pausar o Overkill.
  • Compreendendo que o Zoom está com essa fragilidade, tomar cuidado redobrado ao clicar em links desconhecidos (idealmente não clicando) e sendo bastante prudente quanto aos sites pelos quais navega.

Caso use Mac, você pode identificar os aplicativos que estão utilizando sua câmera com o seguinte comando no terminal:

lsof | grep -i “applecamera\|isight\|vdc” | awk ‘{ print “nome: “ $1 “ — pid:” $2 }’

Por fim, como a Zoom tem reagido?

Destacamos no começo do texto: hoje o Zoom conta com investidores e auditores de peso, não podendo se dar ao luxo de permitir falhas de segurança tão soltas assim. A crença é de que, atualmente, é mais um problema de gestão (technical debt) do que de má-fé — embora casos anteriores revelem comportamentos esquisitos.

O CEO da Zoom já se posicionou pedindo desculpas publicamente e se comprometendo em arrumar as coisas. A empresa inclusive congelou o lançamento de novas features por 90 dias para se concentrar apenas nisso. Ontem mesmo, 02/04/2020, foi lançada uma atualização do software com "fixed installer issue" (aparenta ser uma correção à maior vulnerabilidade do produto, que era o comportamento de seu instalador no MacOS).

É isso, pessoal! Qualquer atualização, comunicaremos. O importante é divulgar para pessoas que utilizam o Zoom intensivamente, pois pelo menos as estratégias de proteção quanto à invasão de links já podem ser super úteis.

Qualquer coisa, é só mandar uma mensagem para a gente nas nossas redes sociais: Facebook e Instagram.

Não conhece a Future4? Somos uma startup voltada para a formação de desenvolvedores(as) em um modelo totalmente acessível: aulas remotas, mas ao vivo, 6 meses de experiência e você só paga pelo curso quando estiver empregado(a) recebendo um bom salário! Quer aprender a programar? Se inscreva clicando aqui! Quer contratar desenvolvedores full-stack que tiveram uma mega experiência prática utilizando React, Node.js e muito mais? Nos mande um email no oi@future4.com.br.

Até mais, pessoal!

Soter Pádua (engenheiro e instrutor F4), Pedro Darvas (engenheiro e instrutor F4) e Artur Vilas Boas (co-fundador F4).

Atualização — 06/04: Especialistas de segurança escreveram uma matéria interessante destacando as correções como uma boa melhoria e reforçando práticas de segurança que protegem mais os usuários (a maioria delas cobertas nesse texto). Link: Zoom isn’t Malware.

O Zoom também divulgou diversas melhorias implementadas que nos passam muita segurança quanto às fragilidades citadas acima, tais como:

https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/
Segurança Da Informação
Tecnologia
Inovação
Proteção De Dados
Trabalho Remoto

--

--

Labenu

Written by Labenu

40 Followers

Ensino de tecnologia sem barreiras. Aprenda a programar de graça até você conseguir um emprego. Inscreva-se em: labenu.com.br

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams