A empresa de pesquisa de segurança cibernética Check Point Research disse em um relatório divulgado hoje que encontrou falhas de segurança na plataforma de videoconferência Zoom, que permitiria a um hacker em potencial participar de uma reunião em vídeo sem ser convidado e ouvir, potencialmente acessando quaisquer arquivos ou informações compartilhadas durante a reunião. Embora o Zoom tenha resolvido o problema, o relatório levanta preocupações mais profundas sobre a segurança dos aplicativos de videoconferência que exigem acesso a microfones e câmeras.
Cada chamada de Zoom tem um número de identificação gerado aleatoriamente entre 9 e 11 dígitos, usados pelos participantes como um tipo de endereço para localizar e participar de uma chamada específica. Os pesquisadores da Check Point encontraram uma maneira de prever quais reuniões válidas sobre 4 por cento do tempo, e foi capaz de se juntar a alguns, diz Yaniv Balmas, chefe de pesquisa cibernética da Check Point. (Eles não mergulharam nas reuniões, enfatizou Balmas. Em vez disso, encerraram as ligações nas telas da “sala de espera”.)
“Era como uma roleta Zoom”, disse Balmas The Verge. “As implicações seriam: se você estiver em um bate-papo por vídeo e tiver vários membros ingressando, talvez não perceba se alguém que não deveria estar lá está sentado, ouvindo você”.
Como as teleconferências do Zoom podem acomodar “dezenas de milhares” de participantes em uma reunião, de acordo com o IPO de maio da empresa, não seria difícil para um invasor entrar furtivamente em uma chamada de zoom sem aviso prévio se não houvesse medidas de triagem em vigor.
O Check Point não encontrou uma maneira de conectar um ID de reunião do Zoom a um usuário específico. Portanto, mesmo que um ator ruim tivesse acesso a uma reunião aleatória, não saberia necessariamente de quem era a reunião antes de entrar na chamada. Os pesquisadores não descobriram que alguém que estivesse acessando uma reunião do Zoom teria acesso às câmeras ou microfones de outros usuários.
A Check Point divulgou a vulnerabilidade ao Zoom e diz que a empresa respondeu rapidamente para corrigir o problema. Ele substituiu a geração aleatória de números de identificação de reunião por uma “criptograficamente forte”, adicionou mais dígitos aos números de identificação de reunião e tornou as senhas exigidas o padrão para futuras reuniões. (Porém, uma ligação do Zoom com a Check Point para discutir a pesquisa não exigiu que eu digite uma senha antes de ingressar.)
Não é mais possível verificar os códigos de reunião aleatórios da mesma forma que os pesquisadores do Check Point; cada tentativa de ingresso carregará uma página da reunião, e tentativas repetidas para tentar procurar por identificações de reunião bloquearão temporariamente esse dispositivo da plataforma.
Um porta-voz da Zoom disse que o problema identificado pela Check Point foi resolvido em agosto, acrescentando que a privacidade e a segurança de seus usuários eram sua principal prioridade. “Agradecemos à equipe da Check Point por compartilhar suas pesquisas e colaborar conosco”, disse a empresa.
A Zoom, com sede em San Jose, fundada em 2011, tem um valor de mercado de pouco menos de US $ 20 bilhões e clientes em mais de 180 países. A empresa disse durante o anúncio de resultados do terceiro trimestre no mês passado que sua base de clientes incluía 74.000 empresas de tamanho significativo, avaliadas como uma empresa com mais de 10 funcionários.
No verão passado, o pesquisador de segurança Jonathan Leitschuh descobriu uma vulnerabilidade de dia zero no Zoom nos Macs que poderia permitir que um ator ruim sequestrasse a câmera e o feed ao vivo de um usuário. A empresa acabou parando de usar o servidor da Web local que criou a vulnerabilidade, mas não depois de defendê-la como uma situação de “baixo risco”.
Balmas disse que os pesquisadores da Check Point estavam focados especificamente no Zoom e nos números de identificação de suas reuniões e não investigaram se a vulnerabilidade estaria presente em outros programas de bate-papo por vídeo, como o Google Hangouts ou Skype. Mas ele alertou que qualquer plataforma de videoconferência tem riscos inerentes, mesmo que os usuários tomem as precauções de segurança necessárias.
“Não vimos [other videoconferencing platforms], mas o que encontramos aqui é um grito para eles ”, disse ele. “Você deve procurar esse tipo de coisa, maneiras pelas quais usuários não autorizados podem obter acesso, para qualquer aplicativo que tenha acesso ao seu microfone ou câmera”.