Zoom obriga uso de senha por segurança, mas ainda pode ser invadido
Felipe Germano
Colaboração para Tilt
07/04/2020 11h55
Sem tempo, irmão
- Zoom atualizou seu sistema, impedindo acesso direto via link a conferências
- Ação deixa plataforma mais segura, mas ainda há fragilidades
- Para se proteger, Zoom talvez tenha que abrir mão da qualidade das conferências
Depois do sucesso por causa do isolamento social pós-coronavírus, a plataforma de teleconferência Zoom está enfrentando tempos turbulentos por causa da sua já reconhecida falta de segurança. A plataforma disse que mudaria a estrutura de privacidade da ferramenta, passando a colocar senhas como padrão nas chamadas. Mas, talvez ainda não seja o suficiente.
Desde o último domingo (5) quem usa o Zoom está um pouco mais protegido. O sistema permitiu senhas e salas de espera virtuais por padrão para todos os usuários dos planos Free Basic e Single Pro. Ao agendar uma reunião, uma senha agora será obrigatória. A mesma coisa vai rolar para reuniões instantâneas e participantes que ingressarem em uma chamada por celular.
Antes, para entrar em uma chamada, tudo que você precisava era do link da reunião. O Zoom gera uma URL para cada videoconferência, e ao clicar no endereço você automaticamente entrava no papo. Não dá para dizer que se tratava de uma falha, pois era uma função desenvolvida de propósito para facilitar o acesso, principalmente em reuniões com muitas pessoas.
No mundo real, essa facilidade de acesso às conversas gerou constrangimentos graves, com diversos incidentes de invasões.
O mais recente ocorreu na segunda (6). Uma coletiva de imprensa sobre coronavírus (com membros da Sociedade Brasileira de Imunologia, da Rockefeller University e da UFMG) foi invadida por neonazistas que usaram a transmissão para mostrar imagens de Hitler. A Folha de S. Paulo disse que a atualização não estava habilitada.
"O sistema era muito fácil de invadir", afirma Hiago Kin, pesquisador de segurança digital especialista em comportamento hacker. "A URL das conferências era extremamente simples. Mudando alguns poucos números no endereço, você poderia cair em uma conferência aleatória", explica.
Criminosos com alvos específicos também se aproveitavam da falha. "Se um hacker quisesse ver reuniões de uma empresa, ele poderia fazer uma invasão prévia, que não envolvesse o Zoom. Com uma rede infectada, você têm acesso a mensagens internas. Bastaria um email com o link para obter o endereço. A partir disso, é possível não só assistir, como gravar assuntos confidenciais ", completa.
E agora?
Com a atualização, esse cenário não acontece mais. Agora, por mais que você tenha o link certo, o responsável pela ligação tem que autorizar a sua entrada. Sem esse ok, você fica em uma lista de espera.
"Antes funcionava como um grupo de WhatsApp: quem tem o link para entrar só precisa de um clique. Agora, por outro lado, é como um grupo fechado no Facebook. Você pode até saber a URL, mas só dá para saber o que está acontecendo se um administrador te autorizar a entrar", explica Kin.
Problema resolvido, certo? Nem de perto. O sistema ainda tem falhas. Se nas conferências estiverem esperando um João da Silva, por exemplo, e alguém criar uma conta com esse nome de usuário, as chances de aceitarem o homônimo não são raras.
E se antes a Zoom tinha alguma responsabilidade na hora de proteger o cliente, agora esse peso foi passado para o usuário, que tem que ele mesmo autenticar a veracidade do comunicador.
Há solução?
Isso não quer dizer, no entanto, que o Zoom não tem solução. Mas é preciso repensar a empresa do zero.
"As conversas de vídeo do WhatsApp, por exemplo, são criptografadas de ponta a ponta. Não passam pelo servidor, não geram uma URL. Para conversar com alguém, você tem ter ela como contato. É tudo muito mais seguro", afirma Kin. "O problema é que o Zoom não quer ser o WhatsApp. Ele quer ser o Twitch ou o YouTube Live", explica.
O Zoom sempre se vendeu como uma plataforma para massas. Neste post de 2016, por exemplo, ele fala que uma de suas vantagens frente ao Skype é que ele consegue criar salas com até 500 participantes - e apresentações ao vivo para até 10 mil pessoas.
Ou seja, os idealizadores queriam mesmo mais plateia para os vídeos. Mas aí veio o coronavírus e todo mundo procurou um serviço que desse conta de conferências para empresas inteiras. O Zoom dava, mas isso só acontecia justamente porque ele era inseguro.
"O Zoom é uma plataforma de streaming. Por isso ele é o mais estável, não cai, não falha: porque estamos conectados aos servidores deles. Eles monitoram as necessidades da rede e vão coordenando se determinada área precisa de mais ou menos atenção", explica Kin.
O WhatsApp, o Skype, são o oposto: pela segurança, eles passam longe dos servidores. Mas aí tudo depende da sua internet. Se o seu sinal estiver um pouco mais fraco, ele afeta diretamente a ligação. Com equipes grandes, depender exclusivamente da internet de cada participante pode gerar uma queda na qualidade da transmissão.
"O dilema do Zoom agora é esse: cresceu porque era estável e porque era streaming. Agora, se quiser ser mais seguro, vai ter que deixar isso de lado. E a qualidade vai cair", conta Kin.
Por tudo isso, já é melhor ir pensando nas plataformas alternativas, porque, por enquanto, tudo indica que o futuro do serviço tende a passar por turbulências ainda maiores.
SIGA TILT NAS REDES SOCIAIS
- Twitter: https://twitter.com/tilt_uol
- Instagram: https://www.instagram.com/tilt_uol/
- WhatsApp: https://uol.page.link/V1gDd
- Grupo no Facebook Deu Tilt: http://bit.ly/FacebookTilt