Apps

A falta de privacidade — planejada e acidental — do Zoom

Notebook com o aplicativo da Zoom aberto com quatro pessoas participando de uma videochamada.

É um tanto difícil falar em vencedores durante uma pandemia, mas, se nos permitirmos esse exercício, o Zoom, empresa norte-americana que oferece um serviço de videochamadas via internet, entraria fácil nessa seleção.

O sucesso estrondoso do Zoom se funda em dois aspectos: a facilidade de uso — basta ter um link para entrar em uma conversa — e a qualidade da imagem e som, que decorre diretamente da obsessão em manter a latência abaixo de 150 ms, aquele “atraso” do áudio em relação ao vídeo, mesmo em salas lotadas — o sistema suporta até 100 participantes em uma chamada, e até 1 mil no modo webinar, em ambos com recursos avançados como compartilhamento de tela, enquetes e espelhamento em plataformas de streaming (YouTube, Facebook).

A obsessão com a latência está se pagando e já foi incorporada à mítica do Zoom. Eric Yuan, fundador e CEO, trabalhava no Webex, um produto similar ao Zoom, na Cisco, uma gigante norte-americana. Ao propor melhorias ao Webex, foi tolhido pelos seus gestores. Em 2011, Yuan largou seu emprego e criou o Zoom. Dois anos depois, o produto chegou ao mercado e foi, pouco a pouco, conquistando espaço no ambiente corporativo fazendo o básico de uma maneira que nenhum outro produto, de empresas enormes como Microsoft, Google e Cisco, era capaz de fazer.

Quando o SARS-CoV-2 iniciou sua viagem para o Ocidente, a popularidade do Zoom subiu em velocidade comparável à de contágio do novo coronavírus. Há semanas, o aplicativo é o mais baixado nas lojas de apps do iOS e do Android — inclusive no Brasil. De 10 milhões de usuários em dezembro de 2019, o Zoom explodiu e, em março, chegou a ser usado por 200 milhões de pessoas por dia. Em meados de abril, 300 milhões.

Se antes era uma ferramenta estritamente corporativa, agora o Zoom está sendo usado para conectar famílias, grupos de amigos e profissionais liberais. Histórias diversas de gente comum usando o Zoom para estudar, trabalhar ou apenas se divertir começaram a aparecer nos jornais. Memes, o definidor por excelência do que é popular, surgem diariamente em doses generosas. O valor de mercado do Zoom, que abriu capital no início de 2019, disparou e hoje a empresa vale mais do que as grandes companhias aéreas norte-americanas combinadas.

O Zoom ganha em conveniência e facilidade. Enquanto outros aplicativos do tipo demandam instalações, cadastros e outras burocracias, no Zoom basta tocar em um link para cair em uma videochamada com áudio e imagem de altíssima qualidade. Mas, aparentemente, toda essa praticidade cobra um preço em segurança e privacidade. O sucesso não trouxe apenas benesses. Ele também fez aumentar o escrutínio de pesquisadores e da imprensa acerca das práticas do Zoom. O que se descobriu ao dar uma revirada ali não foi algo agradável e o volume é surpreendente — não se passa um dia sem que alguma brecha ou prática problemática apareça.

Matéria atualizada 3 vezes desde que foi publicada:

  • 3 de abril, 15h15: Inclusão do tópico “O caso dos vídeos salvos na web aberta”.
  • 4 de abril, 13h30: Inclusão dos tópicos “Criptografia fraca e conexões com a China” e “O caso da conexão com o LinkedIn”. Inclusão da informação de que o recurso de chamar a atenção de usuários que tiram a janela do Zoom de foco foi removido (tópico “Falta de privacidade é padrão”).
  • 28 de abril, 14h: Inclusão, no final do texto, da atualização Zoom 5, que corrige alguns problemas listados na matéria original.

O caso do servidor web — e outros relacionados

O primeiro escândalo de privacidade do Zoom precedeu a pandemia. Foi em julho de 2019. O pesquisador Jonathan Leitschuh descobriu que o app do Zoom para macOS instalava um servidor web no sistema para viabilizar a mágica da videochamada com um clique. Além da quebra de segurança, pois em nenhum momento o usuário é avisado disso, o servidor implicava em três problemas sérios:

  1. Permitia que qualquer site forçasse a entrada do usuário em uma chamada, com a webcam ativada, sem pedir permissão.
  2. Abria brecha para ataques de negação de serviço, bastando que um site enviasse repetidos convites à vítima para uma chamada inválida.
  3. Jamais era desinstalado. Mesmo quando o aplicativo da Zoom era removido do sistema operacional, o servidor era mantido ativo e, assim que o link de uma chamada no Zoom fosse clicado, ele reinstalava o app automaticamente.

A reação da empresa foi péssima. Num primeiro momento, essa óbvia falha de segurança foi classificada como um recurso, pois agilizava a reinstalação do aplicativo, economizando tempo e gerando conveniência. Precisou que a Apple lançasse uma atualização para o macOS que removia o servidor web da Zoom do sistema. Um pouco antes disso, uma atualização no app da Zoom removeu o servidor e acrescentou um desinstalador completo.

O aplicativo para macOS voltou a ser alvo de críticas nesta segunda-feira (30). No sistema da Apple, a instalação de aplicativos fora da App Store é feita em etapas: primeiro, é preciso “montar” uma imagem para, em seguida, o próprio usuário arrastá-la à pasta de aplicativos. O do Zoom carrega scripts automatizados para ser instalado direto ao ser aberto, sem qualquer aviso prévio de que isso acontecerá. O usuário do Twitter @c1truz_, que apontou o problema, o explica:

Isto não é necessariamente [um comportamento] malicioso, mas é muito obscuro e deixa um gosto amargo. O aplicativo é instalado sem que o usuário dê seu consentimento e um alerta altamente enganoso é usado para [o instalador] ganhar privilégios de administrador. Esses mesmos truques são usados por malwares no macOS.

Patrick Wardle, ex-hacker da Agência de Segurança Nacional (NSA), encontrou dois desdobramentos realmente perigosos no comportamento do instalado do Zoom: alguém poderia incluir um instalador extra, de um malware, que poderia ganhar controle absoluto do computador afetado, e esse instalador poderia ganhar acesso direto, herdado do Zoom, ao microfone e à câmera do computador.

O aplicativo para Windows também apresentou um problema. O pesquisador britânico identificado como @_g0dmode no Twitter descobriu que a parte de mensagens de texto executa um tipo de link que vaza credenciais do sistema e pode executar arquivos remotamente. Outros pesquisadores e o site Bleeping Computer confirmaram o problema.

O caso do “zoombombing”

Tela do Zoom com uma imagem pornográfica, borrada por motivo óbvio, em destaque.
“Zoombombing” pornográfico durante uma videochamada pública da Lauv e Chipotle. A imagem foi borrada por motivos óbvios. Imagem: @exitpost/Twitter.

O primeiro problema pós-coronavírus do Zoom aconteceu devido a uma configuração, ativada por padrão, que permite a qualquer participante da videochamada compartilhar sua tela sem precisar de autorização do anfitrião. Nos Estados Unidos, já há diversos casos de abusos dessa ferramenta, principalmente com a inserção de conteúdo pornográfico em videochamadas públicas. De tão comum, a prática já ganhou nome: “zoombombing”.

O FBI emitiu um alerta com dicas para evitar o problema. Se uma videochamada tiver que ser feita com muitos participantes ou publicamente, é recomendável alterar a configuração de compartilhamento de tela para que só o anfitrião possa compartilhá-la. Outra opção, desativada por padrão, é a da “sala de espera”, que controla a entrada de convidados e permite ao anfitrião barrar desconhecidos. Também dá para colocar senhas nessas salas.

O caso do SDK do Facebook

No dia 26 de março, o site norte-americano Vice revelou que o app do Zoom para iOS enviava dados ao Facebook assim que era aberto, mesmo que o usuário não tivesse conta no Facebook. Essa conexão não constava em lugar algum da política de privacidade do Zoom.

O problema estava no SDK do Facebook, usado pelo Zoom. Um kit de desenvolvimento de software (SDK) é um pedaço de código que uma plataforma oferece a terceiros para prover serviços complementares em seus próprios aplicativos e serviços. O do Facebook, por exemplo, fornece um punhado de ferramentas de estatísticas e facilita a implementação do login com uma conta do Facebook. É gratuito. Em troca, o desenvolvedor que emprega o SDK consente em fornecer dados dos seus usuários ao Facebook.

A reação do Zoom foi rápida. O próprio CEO Eric Yuan assinou um post no blog oficial reconhecendo o problema e informando que uma atualização fora disponibilizada, sem o SDK do Facebook. Ele era usado para o recurso de login com o Facebook, recurso esse que continua a ser oferecido, mesmo sem o SDK. Como dito, o SDK facilita certos recursos, mas em muitos casos não é a única maneira de implementá-los. (Embora quase sempre seja a mais fácil.)

A primeira frase do post de Yuan diz que “a Zoom leva a privacidade dos seus usuários extremamente a sério”. Repassar dados deles a outra empresa como o Facebook não combina com essa afirmação.

O caso dos vazamento de e-mails e fotos

A Vice encontrou outra falha grave. O Zoom tem um recurso chamado “diretório da empresa”, que lista automaticamente todos os usuários, com e-mail e foto, que tenham se registrado com um e-mail de um mesmo domínio — todos os @manualdousuario.net, por exemplo. Em empresas, isso é útil para encontrar colegas que estejam na plataforma. O problema é que o diretório também é montado para quem se cadastra com e-mails pessoais de provedores que não sejam os mais populares — Gmail, Hotmail, Yahoo, que são excluídos do recurso.

A reportagem da Vice conversou com usuários holandeses que, ao se cadastrarem no Zoom com seus e-mails pessoais de provedores locais, viram listas com até 1 mil pessoas desconhecidas, que apareceram no “diretório da empresa” por usarem o mesmo provedor de e-mail. Em resposta à publicação, a Zoom disse que mantém uma lista com domínios que devem ser excluídos do recurso e que oferece um formulário para que as pessoas peçam a remoção dos que ainda não estão contemplados. Em outras palavras, a devassa digital é padrão; quem sentir-se incomodado de ter seus dados expostos que se vire para comunicar à empresa. É o “opt-out” como padrão em um sistema que deveria, por óbvio, ser “opt-in”.

O caso da falsa criptografia de ponta a ponta

O The Intercept descobriu uma mentira descarada na comunicação do Zoom. Em várias peças publicitárias, no site do serviço e até em um white paper de segurança, o Zoom afirma que suas videochamadas são “criptografadas de ponta a ponta”. Tem até o ícone de um cadeado verde indicando isso durante as videochamadas. Na prática, não é bem assim — e quem disse isso foi um porta-voz da própria empresa.

Site da Zoom informa que as chamadas são criptografadas de ponta a ponta.
Imagem: Zoom/Reprodução.

Ele informou que a criptografia das videochamadas é do tipo TLS, que contempla apenas o transporte dos dados. Neste cenário, terceiros não conseguem bisbilhotar a conversa, mas o Zoom, sim. Se a criptografia fosse de ponta a ponta, apenas os interlocutores da videochamada conseguiriam ver e ouvir o conteúdo dela, ou seja, sem o Zoom. É assim que funciona em outros apps do gênero, como Signal e WhatsApp.

Concorrentes do Zoom no mercado corporativo, como Google e Microsoft, também não têm criptografia de ponta a ponta para videochamadas, mas explicitam esse detalhe e publicam relatórios de transparência regulares informando o público dos pedidos de acesso feitos por governos. O Zoom, além de enganar os usuários, não pública qualquer relatório do tipo, o que motivou outra reclamação, desta vez uma carta aberta (PDF) do grupo de proteção aos direitos humanos Access Now.

Na quarta (1), um post no blog do Zoom reconheceu o equívoco:

Embora jamais tenha sido a intenção de enganar nenhum dos nossos clientes, reconhecemos que existe uma discrepância entre a definição comumente aceite de criptografia de ponta a ponta e a forma como a estávamos usando.

O caso dos vídeos salvos na web aberta

Incluído em 3 de abril, às 15h15.

A reportagem do Washington Post detectou muitos vídeos gravados no Zoom disponíveis na web aberta com uma simples consulta em buscadores gratuitos. um Entre os vídeos encontrados estavam sessões de terapia individuais, treinamento de atendentes de saúde que incluía nomes e telefones; pequenas reuniões de negócios com a exibição de declarações financeiras; e aulas de escolas infantis em que os rostos das crianças são mostrados.

Esses vídeos não estão hospedados no Zoom nem foram vazados. O anfitrião dessas chamadas salvou a videochamada e depois a enviou a uma nuvem pública. O deslize do Zoom, nesse caso, é padronizar o nome dos arquivos salvos, o que facilita bastante a pesquisa — uma das pesquisas feitas pelo Post retornou 15 mil resultados.

Em nota, um porta-voz do Zoom disse que a empresa oferece uma solução de hospedagem segura e que implora aos anfitriões para que sejam cautelosos com os arquivos de vídeo e transparentes com os participantes de que a chamada está sendo gravada. As videochamadas não são gravadas por padrão e o Zoom alerta os participantes quando o anfitrião inicia a gravação.

Criptografia fraca e conexões com a China

Incluído em 4 de abril, às 13h30.

Pesquisadores da Universidade de Toronto fizeram novas descobertas acerca da criptografia do Zoom (via The Intercept).

Eles descobriram que 5 dos 73 sistemas de gerenciamento de chaves de criptografia ficam na China e que é possível que mesmo em videochamadas onde não haja participantes na China envolvidos esses sistemas podem emitir chaves, o que pode implicar legalmente o Zoom a ter que cedê-las às autoridades chinesas.

Além disso, os pesquisadores descobriram que o Zoom usa um algoritmo de criptografia chamado Electronic Codebook (ECB). Ele é considerado fraco para os padrões atuais porque preserva padrões dos dados que criptografa, facilitando a quebra da proteção. Esta imagem, da Wikipédia, ilustra a fraqueza do ECB:

Três imagens de um pinguim, lado a lado: a primeira normal; a segunda criptografia com o ECB, com os traços do pinguim ainda visíveis; a última é só um chuvisco, como deve ser a imagem apropriadamente criptografada.
O ECB (imagem do meio) mantém padrões do arquivo digital criptografado. Imagem: Wikipédia.

O caso da conexão com o LinkedIn

Incluído em 4 de abril, às 13h30.

O New York Times descobriu que usuários do Zoom que assinam o serviço Sales Navigator, do LinkedIn, obtêm dados dos participantes de uma videochamada extraídos de seus perfis no LinkedIn automaticamente. O maior problema é que ele é ativado mesmo quando um interlocutor entra em uma videochamada como anônimo ou usando um pseudônimo, revelando sua identidade que, presumivelmente, essa pessoa deseja que permaneça anônima.

Após contato da reportagem do jornal, o Zoom desabilitou a integração com o LinkedIn. O LinkedIn também agiu, suspendendo a integração enquanto investiga o problema.

Falta de privacidade é padrão

Um dos recursos do Zoom é “dedurar” alguém que tira a janela da videochamada de foco por mais do que 30 segundos quando uma tela está sendo compartilhada. Caso isso aconteça, um indicador começa a piscar no nome do participante “desatento”.

Atualização (4/4, às 13h30): Este recurso foi removido do Zoom, segundo post do CEO no blog oficial da empresa.

É mais um recurso que extrapola barreiras de segurança do sistema operacional para funcionar. O Electronic Privacy Information Center, um grupo de defesa da privacidade sediado em Washington DC, apresentou uma reclamação formal à Federal Trade Comission contra o Zoom por classificar esta prática como injusta e enganosa.

O administrador de uma conta corporativa do Zoom tem à sua disposição um painel detalhado que informa detalhes granulares de todas as videochamadas feitas na organização. Dá para saber os títulos das reuniões, convidados, duração, endereços IP e dados dos dispositivos, geolocalização e mais. Caso a videochamada seja gravada, o administrador pode assisti-la posteriormente sem que os participantes sejam avisados disso.

Um administrador também pode adentrar qualquer videochamada em andamento sem aviso prévio, conforme atesta a documentação do app (tradução livre):

Para chamadas em andamento, o botão ‘Entrar como assistente’ permite que um administrador entre na chamada como co-anfitrião se o anfitrião estiver logado e na chamada.

Em outra frente, a política de privacidade — atualizada no último domingo (29) — é recheada de partes estranhas; algumas, inacreditáveis. A atualização traz vários parágrafos que afirmam que o Zoom não vende dados dos usuários a empresas de publicidade, no que aparenta ser uma resposta à suspeita levantada por alguns sites, como Input, embasadas na leitura da versão anterior da política. Mas, no novo texto, o argumento do Zoom meio que se esfarela nesta parte (novamente, tradução livre):

Como descrito na seção de sites de marketing do Zoom, o Zoom utiliza certas ferramentas de publicidade padrão em nossos sites de marketing que, desde que você tenha permitido em suas preferências de cookies, envia dados pessoais para os provedores de ferramentas, como o Google. Isto não é uma “venda” dos seus dados no sentido de que a maioria de nós usa a palavra venda. No entanto, a lei CCPA da Califórnia tem uma definição muito ampla de “venda”. Sob essa definição, quando o Zoom usa as ferramentas para enviar os dados pessoais aos fornecedores de ferramentas de terceiros, pode ser considerado uma “venda”. É importante saber que os programas de publicidade sempre funcionaram dessa forma e não mudamos a forma como usamos essas ferramentas. É apenas com os recentes desenvolvimentos nas leis de privacidade de dados que tais atividades podem se enquadrar na definição de uma “venda”.

É o mesmíssimo argumento que o Facebook usa para justificar o abuso sistemático de dados pessoais dos usuários e que mantém seu negócio extremamente rentável de publicidade digital. É ridículo que a política de privacidade de uma empresa de dezenas de bilhões de dólares recorra ao argumento infantil de que “foi sempre assim” para justificar condutas questionáveis.

A resposta do Zoom

Aplicativos-sensação são difíceis de escapar. É como uma bola de neve e, quando nos damos conta, empresas, profissionais liberais e amigos passam a usá-los e o que a princípio era uma opção acaba se tornando virtualmente obrigatório.

Na manhã desta quinta-feira (2), um novo post assinado por Yuan apareceu no blog do Zoom. Nele, o executivo anuncia uma paralisação no desenvolvimento de novos recursos por 90 dias. Nesse período, todos os engenheiros da empresa se dedicarão a resolver os vários problemas de segurança e privacidade descobertos nas últimas semanas. (E, possivelmente, outros ainda desconhecidos.) Ele se justificou dizendo que o crescimento explosivo da noite para o dia pegou a empresa de surpresa:

(…) não concebemos o produto com a previsão de que, em questão de semanas, todas as pessoas no mundo estariam de repente trabalhando, estudando e socializando a partir de casa. Temos agora um conjunto muito maior de usuários que estão utilizando o nosso produto de uma miríade de formas inesperadas, apresentando-nos desafios que não antecipamos quando a plataforma foi criada.

Na lista de medidas que estão sendo tomadas, também estão presentes a elaboração de relatórios de transparência e um webinar semanal, sempre às quartas-feiras, para comunicar às pessoas o andamento dessas medidas.

O primeiro resultado concreto dessa força-tarefa apareceu no último dia 22 de abril, com a liberação do Zoom 5.0. Entre outras novidades, esta atualização trouxe um padrão de criptografia melhor e salvaguardas para evitar o “zoombombing”, como a ativação por padrão do recurso de sala de espera, que impede que novos participantes ingressem em chamadas diretamente, sem pré-aprovação.

Ainda é cedo para dizer se o Zoom se tornará o novo padrão em videochamadas no mundo corporativo ou se consertará todos os problemas e, mais importante, se isso será suficiente para recuperar sua imagem. Em todo caso, o primeiro passo foi dado.

Foto do topo: Zoom/Divulgação.

A melhor maneira de acompanhar o site é a newsletter gratuita (toda quinta-feira, cancele quando quiser):

Acompanhe também nas redes sociais:

  • Mastodon
  • Telegram
  • Twitter
  • Feed RSS

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

4 comentários

  1. Excelente matéria! Já tinha um pé atrás com serviços que “bombam” assim de uma hora pra outra. Como sou usuário G Suite dou sempre preferência ao Hangouts Meet, que mesmo sendo Google, pelo menos são mais transparentes.

  2. infelizmente meu curso de inglês está usando esse serviço, instalei hoje de manhã pra assistir a aula mas já desinstalei

    e me cadastrei nos serviço, mas usei um alias para mitigar o problema

  3. Baita matéria! Obrigado por compartilhar.

    Instalei o aplicativo no android na segunda feira para testar. Percebi que quando encerrei uma vídeo chamada o microfone permaneceu ativado, tive que ir manualmente desativar.

    Acho que tem muita coisa aí que vai pipocar ainda.

    abs

Do NOT follow this link or you will be banned from the site!