CISO Advisor: 242.318 page views/mês - 93.273 usuários/mês - 5.338 assinantes

Zoom promete revisão de criptografia para torná-lo mais seguro

Da Redação
06/04/2020

Serviço de videoconferência na web atribui o roteamento de chaves via China a causa das vulnerabilidades encontradas por pesquisadores de segurança

Em resposta a novas pesquisas que destacam deficiências de criptografia e infraestrutura em seu software de videoconferência, o Zoom prometeu ampliar ainda mais seus controles de segurança.

Com a pandemia da covid-19 provocando um aumento no trabalho em casa, pesquisadores revisaram a segurança das ferramentas que dão suporte ao trabalho remoto e à educação a distância e descobriram falhas ou erros de projeto que precisam ser corrigidos.

Na sexta-feira, 3, o Citizen Lab, grupo da Universidade de Toronto que estuda a vigilância e seu impacto nos direitos humanos, publicou um relatório alertando que o Zoom parecia ter um esquema de criptografia do tipo “faça a sua própria [criptografia]” que “apresenta fraquezas significativas”, deixando as comunicações potencialmente abertas e passíveis de serem interceptadas.

O relatório também alerta para “áreas de preocupação na infraestrutura do Zoom, incluindo a transmissão de chaves de criptografia de reunião pela China”. Os pesquisadores do Citizen Lab dizem que o aumento do uso da plataforma de teleconferência do Zoom significa que ela provavelmente está sendo usada, ao menos em alguns casos, para comunicações intragovernamentais. “Suspeitamos que isso faça do Zoom um alvo de alta prioridade para coleta de agências de inteligência de sinais (Sigint) e operações de intrusão direcionadas”, escrevem eles. Na semana passada, o primeiro-ministro britânico Boris Johnson tuitou uma foto de sua reunião de gabinete via Zoom.

Veja isto
Zoom é usado em domínios falsos para ataques de phishing
Invasão de calls do Zoom tem até exibição de pornografia

Os pesquisadores também disseram ter encontrado um problema sério no recurso de sala de espera da plataforma que foi relatado ao Zoom e não divulgarão até que a falha seja corrigida. “Enquanto isso, aconselhamos os usuários do Zoom que desejam sigilo a não usar as salas de espera”, escrevem eles. “Em vez disso, aconselhamos os usuários a usarem o recurso de senha do Zoom, que parece oferecer um nível mais alto de confidencialidade do que as salas de espera.”

Eric Yuan, CEO da Zoom, respondeu rapidamente ao relatório do Citizen Lab, dizendo que o Zoom implementaria a geo-esgrima [um limite geográfico virtual que é definido pelo software] e a criptografia de reunião para tratar das descobertas relatadas, além de prometer mudanças. “Agradecemos os questionamentos que estamos recebendo e continuamos a trabalhar ativamente para resolver os problemas à medida que os identificamos”, disse Yuan em um post na sexta-feira passada.

“À medida que as comunicações por vídeo se tornam mais populares, os usuários merecem entender melhor como todos esses serviços funcionam, incluindo como a indústria [Zoom e seus pares] gerencia operações e presta serviços na China e no mundo”, completou Yuan.

O Citizen Lab não analisou o Zoom for Government, que é um serviço pago que oferece controles de segurança adicionais.

Explosão de uso de apps de videoconferência

O uso de aplicativos de videoconferência aumentou nas últimas semanas em decorrência da pandemia da covid-19, que levou os governos a ordenar que as pessoas fiquem em casa. O período da noite no trabalho em casa, para numerosos profissionais, bem como estudantes, levou ao uso em larga escala de aplicativos como Zoom, WebEx, Skype, Microsoft Teams e outras ferramentas.

Mas questões de segurança sobre o Zoom levaram algumas organizações a bloquearem seu uso. As descobertas apresentadas no relatório do Citizen Lab sobre a versão gratuita do Zoom geraram mais motivos de preocupação.

O Citizen Lab relata que, embora o Zoom afirme usar criptografia AES-256, os pesquisadores dizem que só viram chaves AES-128 sendo usadas. “Usar chaves AES menores que as recomendadas não é o ideal. Não é desastroso, mas leva a pergunta sobre por que elas são feitas”, disse Alan Woodward, professor de ciência da computação na Universidade de Surrey, à Infosecurity.

O Zoom usa o AES-128 no livro de códigos eletrônico (modo BCE) para criptografar e descriptografar áudio e vídeo, de acordo com o relatório. “O uso do BCE em um sistema baseado em imagem é realmente estranho”, diz Woodward. “Mesmo um aluno do primeiro ano sabe que em tais sistemas blocos idênticos de texto simples resultarão em texto cifrado idêntico, que é um presente para qualquer analista de criptografia”, diz Woodward, ao explicar que isso facilita a decifração do que foi criptografado.

Compartilhar: