Explosão de usuários durante a pandemia e funcionamento muito simplificado do app podem expor usuário a golpistas. Se for usar, prefira o celular em vez do computador. Plataforma de videoconferência Zoom é alvo de questionamentos após 'bombar' com início do período de isolamento pelo coronavírus Divulgação A segurança do app de videoconferência Zoom, cuja popularidade explodiu com a pandemia do novo coronavírus, está sendo questionada por usuários e autoridades. O uso da ferramenta chegou a ser proibido por várias instituições, incluindo a Agência Nacional de Vigilância Sanitária (Anvisa), a fabricante de foguetes SpaceX, as Forças Armadas Australianas e alguns distritos escolares nos Estados Unidos. A empresa prometeu aprimorar a segurança do app e já tomou algumas providências (leia mais sobre o que diz a Zoom ao fim da reportagem). Embora nenhuma das falhas identificadas no Zoom seja grave a pronto de justificar o abandono total da ferramenta, há menos riscos envolvidos no uso das soluções de concorrentes, pelo menos por enquanto. Quem ainda quer usar o Zoom deve tomar cuidado para não baixar nenhuma versão adulterada do programa e conhecer funções como o "Lock Meeting", que impede a entrada de participantes em uma reunião que já está fechada – mais ou menos como "fechar a porta da sala". Quais são as desconfianças? As restrições feitas por empresas são baseadas em uma série de vulnerabilidades encontradas por especialistas em laboratório, entre elas falhas de programação e deficiências na criptografia que protege a comunicação entre os usuários. Análises do app mostraram ainda que o serviço compartilhava dados com o Facebook e com o LinkedIn sem deixar isso claro para os usuários da ferramenta. Essas questões técnicas ficaram à sombra do fenômeno que ficou conhecido como "Zoom bombing", no qual um invasor consegue entrar na reunião e ouvir as conversas dos demais participantes ou transmitir imagens, tumultuando a conferência. Na Noruega, um homem nu apareceu durante uma aula remota com alunos menores de idade, levando a escola a abandonar o aplicativo. Além disso, a explosão de usuários com a urgência do dia para a noite de se estabelecer comunicação entre pessoas que foram mandadas para fazer home office e também de viabilizar aulas à distância, por causa do isolamento contra o coronavírus, colocou o Zoom na mira de hackers. Facilidade do Zoom virou 'pecado' Fundada em 2011, a empresa é uma startup e ainda não tinha passado por um surto de crescimento e exposição. Ou seja, é a primeira vez que a companhia chamou a atenção do público – assim como dos especialistas e golpistas. As falhas encontradas por especialistas no aplicativo não são o maior problema. Vale lembrar, por exemplo, que o WhatsApp só começou a criptografar mensagens em 2012, quando já tinha 3 anos e era usado em larga escala em países como o Brasil. O maior risco no Zoom está em ser alvo de golpistas, atraídos pela grande quantidade de pessoas buscando o aplicativo. E, neste caso, o jeito fácil de usar a plataforma, que é uma das atrações para os usuários do Zoom no "mar" de apps que oferecem o mesmo serviço, pode ser o maior "pecado". Apps e convites falsos O primeiro problema: o Zoom permite que você entre em reuniões sem ter uma conta. Isso é ótimo porque você não precisa fornecer seus dados, certo? Sim. Ele te manda um link que funciona como convite. Mas ele exige que você baixe o aplicativo para entrar na reunião. E esta é uma oportunidade para criminosos confundirem usuários com convites para apps falsos do Zoom, nos quais a vítima é levada a baixar uma praga digital disfarçada do instalador do app. De acordo com a empresa de segurança Check Point, 4% dos 1,7 mil sites registrados com a palavra "Zoom" desde o início do ano apresentam características suspeitas, que indicam a possibilidade de golpes. Também foram identificadas pragas digitais distribuídas com "zoom" no nome do arquivo. Na correria, muita gente acaba usando o Zoom sem nem mesmo conhecer o serviço ou a empresa, deixando de lado um cuidado básico na segurança digital: quando um site ou serviço desconhecido pede a instalação de um software, o correto é ignorar o download. Concorrentes, como Skype,da Microsoft, e o Meet, do Google, também mandam link para reuniões, mas não exigem baixar seus aplicativos porque possuem versão para a web, ou seja, funcionam no computador sem a necessidade de baixar aplicativo: é só abrir o link. O Zoom não utiliza as lojas oficiais de aplicativos nos computadores (Microsoft Store ou Mac App Store). Caso a empresa optasse por esses canais, seria mais fácil saber que se está baixando o app legítimo. O risco é menor no celular, onde download ocorre pelas lojas dos sistemas (Play Store e App Store), mas quem usa a ferramenta no notebook ou computador precisa ter muito cuidado. Reuniões invadidas E o "Zoom bombing"? De novo, a questão da facilidade. A invasão de reuniões aconteceu porque pessoas mal intencionadas têm sido atraídas pelo salto no número de usuários do app. Elas se aproveitavam da maneira mais simples com que o Zoom monta os "IDs" (número que aparece no convite) das reuniões. Eles eram compostos apenas de números, enquanto o Skype e o Meet usam letras pra aumentar o número de variações (assim você não "topa" com reuniões por acaso). Não se tratava, portanto, de uma falha, mas de falta de aleatoriedade no identificador da conferência. A permissão de entrar em salas sem ter uma conta no app também abria brechas para invasões. Quando você precisa se logar para participar da chamada, ainda que você possa entrar apenas com um link, você tem uma camada a mais de proteção porque a pessoa pode ser bloqueada se ficar tentando "adivinhar" salas com a mesma conta. Nos últimos dias, porém, o Zoom passou a adotar também uma senha codificada dentro do link para a reunião. Chamada de vídeo ou videoconferência? Existe uma diferença entre as soluções para chamadas de vídeo privadas e videoconferência. Chamadas em áudio ou vídeo exigem que todos os participantes tenham um cadastro no serviço, o que aumenta a segurança da comunicação. A videoconferência serve para comunicações eventuais, preferencialmente mais curtas e menos sensíveis, com muitos participantes. Usar a solução correta para o tipo de comunicação que você precisa vai garantir o melhor equilíbrio entre a segurança e a facilidade de uso. Veja alguns exemplos: Programas adequados para chamadas de vídeo privadas Para usar esses serviços, todos os participantes precisam ser cadastrados: Discord Facebook Messenger Google Hangouts Skype – "Chamada com vídeo" WhatsApp Programas adequados para videoconferência Esses serviços permitem conferências com pessoas que não possuem cadastros na plataforma. Google Meet Skype – "Reunião" Zoom Cuidados extras Seja qual for o aplicativo escolhido para a sua comunicação, é sempre bom conhecer as opções de cada um. O próprio Zoom, apesar dos problemas, pode ser usado com segurança, especialmente se você utilizar a função "Lock Meeting" para bloquear novos participantes nas reuniões. Outros programas também possuem seus próprios recursos ou, então, vão exigir que você convide seus contatos um a um para a chamada. Para usar a função 'Lock Meeting' no Zoom e fechar uma reunião para novos participantes, clique em 'Manage participants', depois em 'More' e então em 'Lock Meeting' Reprodução no recurso 'Reunião' do Skype, é possível desativar acesso por link, também bloqueando entrada de novos participantes. Ainda será possível convidar contatos manualmente Reprodução O que diz o Zoom A Zoom removeu as integrações com redes sociais e "congelou" os recursos da sua tecnologia para aprimorar apenas a segurança do produto pelos próximos 3 meses, a partir do último dia 1º. A companhia também prometeu contratar uma auditoria de segurança terceirizada, sem especificar quem conduziria o trabalho. A Zoom também pretende elaborar um relatório de transparência a respeito de pedidos governamentais de dados – exatamente como os que são fornecidos por empresas como Microsoft e Facebook – e melhorar o diálogo com a comunidade. Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com