Pular para o conteúdo principal

A vulnerabilidade do zoom teria permitido que hackers espionassem as chamadas

A empresa de pesquisa de segurança cibernética Check Point Research disse em um relatório divulgado hoje que encontrou falhas de segurança na plataforma de videoconferência Zoom, que permitiria a um hacker em potencial participar de uma reunião em vídeo sem ser convidado e ouvir, potencialmente acessando quaisquer arquivos ou informações compartilhadas durante a reunião. Embora o Zoom tenha resolvido o problema, o relatório levanta preocupações mais profundas sobre a segurança dos aplicativos de videoconferência que exigem acesso a microfones e câmeras.

Cada chamada de Zoom tem um número de identificação gerado aleatoriamente entre 9 e 11 dígitos, usado pelos participantes como um tipo de endereço para localizar e participar de uma chamada específica. Os pesquisadores da Check Point encontraram uma maneira de prever quais eram as reuniões válidas cerca de 4% do tempo, e foi capaz de se juntar a algumas delas, diz Yaniv Balmas, chefe de pesquisa cibernética da Check Point. (Eles não mergulharam nas reuniões, enfatizaram Balmas. Em vez disso, encerraram as ligações nas telas da "sala de espera".)

"Era como uma roleta Zoom", disse Balmas ao The Verge . "As implicações seriam: se você estiver em um bate-papo por vídeo e tiver vários membros entrando, talvez não perceba se alguém que não deveria estar lá está sentado, ouvindo você."

Como as teleconferências do Zoom podem acomodar "dezenas de milhares" de participantes em uma reunião, de acordo com o IPO de maio da empresa, não seria difícil para um invasor entrar furtivamente em uma chamada de zoom sem aviso prévio, se não houvesse medidas de triagem.

O Check Point não encontrou uma maneira de conectar um ID de reunião do Zoom a um usuário específico. Portanto, mesmo que um ator ruim tivesse acesso a uma reunião aleatória, eles não saberiam necessariamente de quem era a reunião antes de entrar na chamada. Os pesquisadores não descobriram que alguém que estivesse acessando uma reunião do Zoom teria acesso às câmeras ou microfones de outros usuários.

A Check Point divulgou a vulnerabilidade ao Zoom e diz que a empresa respondeu rapidamente para corrigir o problema. Ele substituiu a geração aleatória de números de identificação de reunião por uma "criptograficamente forte", adicionou mais dígitos aos números de identificação de reunião e tornou as senhas exigidas o padrão para futuras reuniões. (Porém, uma ligação do Zoom com a Check Point para discutir a pesquisa não exigiu que eu digite uma senha antes de ingressar.)

Não é mais possível procurar por identificações aleatórias de reuniões da maneira que os pesquisadores do Check Point fizeram; cada tentativa de ingresso carregará uma página da reunião, e tentativas repetidas para tentar procurar por IDs de reunião bloquearão temporariamente esse dispositivo da plataforma.

Um porta-voz da Zoom disse que o problema identificado pela Check Point foi resolvido em agosto, acrescentando que a privacidade e a segurança de seus usuários eram sua principal prioridade. "Agradecemos à equipe da Check Point por compartilhar suas pesquisas e colaborar conosco", disse a empresa.

A Zoom, com sede em San Jose, fundada em 2011, tem um valor de mercado de pouco menos de US $ 20 bilhões e clientes em mais de 180 países. A empresa disse durante o anúncio de resultados do terceiro trimestre no mês passado que sua base de clientes incluía 74.000 empresas de tamanho significativo, avaliadas como uma empresa com mais de 10 funcionários.

No verão passado, o pesquisador de segurança Jonathan Leitschuh descobriu uma vulnerabilidade de zero dia no zoom no Macs que poderia ter permitido que um ator ruim sequestrasse a câmera de um usuário e a transmissão ao vivo. A empresa acabou parando de usar o servidor da web local que criou a vulnerabilidade, mas não depois de defendê-la como uma situação de "baixo risco".

Balmas disse que os pesquisadores da Check Point estavam focados especificamente no Zoom e nos números de identificação de suas reuniões e não investigaram se a vulnerabilidade estaria presente em outros programas de bate-papo por vídeo, como o Google Hangouts ou o Skype. Mas ele alertou que qualquer plataforma de videoconferência tem riscos inerentes, mesmo que os usuários tomem as precauções de segurança necessárias.

"Não analisamos [outras plataformas de videoconferência], mas o que encontramos aqui é um grito para eles", disse ele. “Você deve procurar esse tipo de coisa, maneiras pelas quais usuários não autorizados podem obter acesso, para qualquer aplicativo que tenha acesso ao seu microfone ou câmera.”

Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

A Apple fechou temporariamente todas as 53 lojas na Califórnia e mais de uma dúzia em Londres

A empresa fechou temporariamente cada loja de varejo na Califórnia, muitos mais em todo os EUA, ambas as lojas no México, ambas as lojas no Brasil, e está prestes a fechar 16 lojas adicionais em todo o Reino Unido. São quase 100 lojas se incluirmos as que fecharam na Alemanha e na Holanda na semana passada, deixando quase um quinto das lojas da empresa agora fechadas em todo o mundo. Verifiquei a lista completa de lojas da Apple para confirmar, e com certeza: todas as lojas da Califórnia, todas as quatro no Tennessee, todas as três em Utah, todas as quatro em Minnesota, duas em Oklahoma e as lojas em Portland, Oregon; Anchorage, Alasca; Omaha, Nebraska; e Albuquerque, Novo México, estão todas fechadas na próxima semana - bem como as 16 lojas adicionais no Reino Unido, México e Brasil a partir de amanhã, 20 de dezembro. FIQUE EM CASA, USE UMA MÁSCARA Não é difícil adivinhar por que as lojas estão fechando, principalmente na Califórnia, onde COVID-19 viu seus quatro dias mais...
Postar um comentário
Leia mais

O Filmic DoubleTake permite gravar a partir de duas câmeras do iPhone ao mesmo tempo

Hoje, a Filmic está lançando um novo aplicativo para iPhones que permite capturar vídeo de duas câmeras ao mesmo tempo. O aplicativo, chamado DoubleTake, foi visualizado pela primeira vez no anúncio do iPhone 11 da Apple em setembro. Ele permite gravar dois arquivos de vídeo separadamente, de qualquer câmera do iPhone, para que você possa cortar entre eles ou capturar os feeds de vídeo exibidos juntos, como uma tela dividida ou uma imagem na imagem. Funciona bem - a questão é se os cineastas encontrarão alguma utilidade para ele, já que possuem o bem conceituado aplicativo de câmera profissional Filmic. O novo aplicativo é direto e fácil de usar. Você começa escolhendo de quais duas câmeras você gostaria de gravar: a ultra larga, larga, telefoto ou selfie. Nesta mesma página, você tem a opção de escolher taxas de quadros - 24fps, 25fps ou 30fps - que são gravadas em 1080p (não há opção para 4K). Você escolhe como deseja que a câmera se...
Postar um comentário
Leia mais

iFood troca dados de usuários nos apps

O iFood trocou dados de usuários em seu aplicativo nesta sexta-feira (19). Diversos relatos contam que acessaram os pedidos pelo app e viram delivery de outras pessoas – ao acessar informações sobre a conta, conseguiam ver dados como nome, endereço, telefone, CPF desse outro usuário. Basicamente, as pessoas estavam autenticadas em suas contas, mas viam informações de outras pessoas. Era possível acessar histórico de pedidos, conversas do chat e ver os endereços residenciais e de trabalho que foram cadastrados. A falha deixou muita gente assustada e pipocaram sugestões para apagar os cartões de crédito cadastrados ou até mesmo a conta por completo. Ainda não está claro qual conta seria apagada caso o usuário decidisse tomar essa ação. Pelo menos no site do iFood, há a informação de que os dados de cartão de crédito são armazenados somente localmente – quem já trocou de celular sabe que é preciso recadastrar os cartões depois do primeiro login. Aparentemente ninguém viu o car...
Postar um comentário
Leia mais