Topo

Por que o Zoom é um desastre de privacidade para você

Reprodução
Imagem: Reprodução

Felipe Germano

Colaboração para Tilt

02/04/2020 17h56

Sem tempo, irmão

  • Zoom, plataforma de videoconferência, cresceu 1900% em usuários após quarentena
  • Isso, no entanto, expôs graves erros de segurança e privacidade
  • Plataforma está sendo investigada pelo FBI
  • Executivo prometeu maior investimento na segurança e relatório sobre problemas

A forma mais segura de você se comunicar com o mundo após a pandemia do coronavírus é via chamadas de vídeo. Muitos usuários descobriram o Zoom como um dos melhores do ramo, e a empresa dona do aplicativo cresceu. Mas, este cenário ideal virou um pesadelo: nos últimos dias, revelou-se que a ferramenta tem problemas seríssimos no respeito à privacidade do usuário, e tudo começou a desmoronar.

O crescimento do Zoom em tempos de quarentena beira o surreal. De acordo com Eric Yuan, executivo-chefe da empresa, a plataforma passou dos 10 milhões de usuários em abril de 2019 para 200 milhões em março deste ano.

Mesmo olhando apenas o Brasil, encontramos números sólidos: em 5 de janeiro o app era o número 954 na lista de mais baixados da App Store tupiniquim. Em 21 de março, atingiu a primeira colocação da mesma lista (e se mantém no topo até agora). Na Google Play brasileira, estreou em 18 de março já na 65ª posição e em quatro dias tomou a liderança.

A questão é que os números também fizeram especialistas em segurança do mundo todo se debruçarem sobre a ferramenta, para entender se ela era segura. Spoiler: não era.

O que aconteceu?

Pouco a pouco começaram a aparecer estudos (até mesmo anteriores à popularidade do aplicativo) que escancaravam sua fragilidade. Em janeiro, uma pesquisa mostrou que era possível invadir uma chamada após simplesmente modificar alguns números de uma URL padrão.

Nesta semana, descobriu-se que esta falha poderia ser explorada em apenas 16 segundos. A própria empresa, então, criou um tutorial (em inglês) para tentar dificultar a situação. O link esclarece os recursos de proteção que podem ajudar a evitar isso, como salas de espera, senhas, controles de silenciamento e limite do compartilhamento de tela.

Ontem, dia 1º de abril, outro exemplo apareceu: Patrick Wardle, ex-agente da NSA, apontou um bug do sistema que permite que hackers tomem o controle de webcams e microfones de usuários de Mac.

A fragilidade, então, começou a ser exibida na prática. No dia 16 de março, a marca de pimentas Chipotle usou o aplicativo para mostrar uma apresentação do músico Lauv. Pouco minutos depois do início, a live teve de ser cancelada, pois um usuário invadiu a transmissão e começou a exibir vídeos eróticos para os espectadores.

E como isso acontece em um sistema criptogrado de ponta-a-ponta, como a Zoom afirma ser? O Intercept revelou que, na verdade, a plataforma não possui o nível de segurança que diz em suas propagandas. "Atualmente, não é possível ativar a criptografia E2E para videoconferências com Zoom", afirmou um porta-voz à reportagem.

Uma reportagem da Motherboard também se somou à pilha de problemas, ao revelar que o sistema ainda enviava informações de seus usuários de iOS ao Facebook.

Isso acontecia mesmo se você não tivesse uma conta na rede social de Zuckerberg. O governo da Califórnia começou a analisar uma ação contra a empresa por ela não ter conseguido "proteger adequadamente as informações pessoais de seus crescentes milhões de usuários".

O problema foi tanto que até o FBI entrou na conversa. O departamento de inteligência americano anunciou que estava investigando crescentes invasões em webcams sequestradas por conta do aplicativo. Os hackers tinham tanta facilidade de acessar conversas teoricamente privadas que até um novo termo foi criado para a invasão especificamente por meio dessa ferramenta: "Zoom-bombing".

Mas o que o Zoom diz?

Na quarta-feira, Yuan emitiu um comunicado no site da plataforma, onde pedia desculpas. "Reconhecemos que não atingimos as expectativas de privacidade e segurança da comunidade —e nem as nossas próprias. Por isso, sinto muito", afirma.

No texto, o executivo diz que a empresa não contava com um aumento tão repentino no número de usuários. E que isso os deixou expostos às falhas.

"Não projetamos o produto com a previsão de que, em questão de semanas, todas as pessoas no mundo de repente trabalhariam, estudariam e socializariam em casa. Agora, temos um conjunto muito mais amplo de usuários que estão utilizando nosso produto de inúmeras maneiras inesperadas, apresentando-nos desafios que não prevíamos quando a plataforma foi concebida", afirma.

À respeito do Facebook, prometeu mais clareza e um repasse menor (mas não nulo) nos dados. "Em 27 de março, tomamos medidas para remover o SDK do Facebook em nosso cliente iOS e o reconfiguramos para impedir a coleta de informações desnecessárias do dispositivo de nossos usuários.", afirma. Ele esclareceu explicitamente que não vendeu ou venderá os dados de usuários.

Além disso, Yuan citou tutoriais (em inglês) para que os usuários saibam se proteger melhor e promete fazer novos testes de segurança, dedicar mais recursos à privacidade e preparar um relatório de transparência que "detalhe informações relacionadas a solicitações de dados, registros ou conteúdo."

Quais aplicativos devo usar no lugar do Zoom?

Há algumas opções. Nenhuma, vale dizer, é impenetrável e absolutamente segura. Mas elas, pelo menos, não estão sendo tão atacadas por hackers como o Zoom —o que, por si só, já é uma proteção.

As mais populares você já conhece: o Hangouts contém toda a infraestrutura do Google, o que vem rendendo uma ótima qualidade de imagem, e uma usabilidade simples. O WhatsApp também é uma saída, principalmente pela praticidade. Eles também garantem que suas ligações de vídeo possuem criptografia ponta-a-ponta.

Temos o Signal, conhecido como o primo mais seguro do WhatsApp, por ser usado por pessoas como Edward Snowden, também tem um recurso de videocall. E o Skype, claro, que também é de uma gigante nos bastidores (a Microsoft). O app é util até para quem já o tem instalado há anos no computador.

Há outras boas ferramentas escondidas por aí. Uma delas é a Teams. Também da Microsoft, é imaginada para um contexto mais empresarial do que o Skype. A ferramenta usa autenticação em dois fatores e criptografia de dados, para dar mais segurança ao usuário.

Outra opção é a Starleaf, focada justamente na segurança e premiada pela Comissão Eletrotécnica Internacional. O serviço de videocall é pago, mas está gratuito durante a pandemia.

Use o que quiser. Só cuidado e fique ligado aqui em Tilt, pois estaremos aqui para contar sobre qualquer novidade ou falha de segurança dos programas.

SIGA TILT NAS REDES SOCIAIS