Equipe de especialistas da empresa localizou vulnerabilidades de grande risco e elaborou uma recomendação para os clientes desinstalarem o aplicativo tanto na versão desktop quanto na mobile
A consultoria de segurança Elytron Security, sediada em São Paulo, publicou hoje um comunicado destinado a seus clientes recomendando que eles desinstalem o aplicativo de vídeoconferência zoom. A empresa, especializada em localização e mitigação de vulnerabilidades cibernéticas, examinou tanto os aplicativos do Zoom quanto a política de privacidade e considerou o conjunto muito arriscado para os clientes.
Com o título de “Recomendações sobre o aplicativo para conferências denominado Zoom”, a empresa pondera com seus clientes que a pandemia levou essa plataforma a um crescimento exponencial, atraindo a atenção de atacantes e de especialistas em segurança da informação em todo o mundo. Diante do noticiário Internacional sobre os problemas de segurança encontrados no Zoom, a própria equipe da Elytron decidiu fazer testes e provas de conceito no aplicativo.
Dirigida pelos especialistas Felipe Galofaro e João Lucas Brasio, a Elytron informa que identificou vulnerabilidades críticas na aplicação, e considerou algumas delas injustificáveis para uma empresa do porte da Zoom. Os problemas, segundo o comunicado, começam com a coleta e vazamento de informações sensíveis e enviadas para a plataforma do Facebook mesmo o usuário não tendo conta nessa rede social. O objetivo, dizem os especialistas, é simplesmente guardar a informação para posterior utilização ou para venda.
Outro problema localizado é que embora prometa a criptografia de ponta-a-ponta nas reuniões virtuais, a Zoom não parece utilizar nenhuma tecnologia que garanta uma segurança desse tipo, o que indica não só propaganda enganosa como um risco para a segurança da informação dos usuários, alerta o comunicado.
Veja isso:
Segurança do home office desafia 95% dos profissionais de cyber
Pwn2Own pagou US$ 265 mil de prêmios a hackers éticos
Foram localizados, ainda, outros problemas, como a possibilidade de vazamento das senhas dos usuários Windows por meio de links – e como uma coisa leva a outra é possível haver um ‘local privilege escalation’, podendo permitir a um atacante instalar malwares nas máquinas dos usuários. Pode haver também, diz o comunicado, vazamento de chaves de criptografia para servidores localizados na China. Por fim, a consultoria chama a atenção para a baixa entropia nos códigos secretos de reuniões virtuais, resultando na possibilidade de os atacantes espionarem reuniões – em outras palavras, os códigos são fracos.
A recomendação de desinstalação foi feita tanto para a versão desktop quanto para a versão mobile. Como alternativa, a equipe da Elytron recomendou aos clientes o uso de outras plataformas, como Microsoft Teams e Google Hangouts.
