Zoom Cybersecurity and Privacy Strategies

Partilhar

19 de Janeiro de 2023
Cayley Wetzig, Director de Comunicação de Marketing

A propagação da COVID-19 levou muitas organizações a adoptar políticas de trabalho a partir de casa; a partir de 2022, um quarto dos americanos estavam a trabalhar a partir de casa. Como resultado, mais pessoas do que nunca começaram a utilizar ferramentas de conferência online, como o Zoom, para comunicar e colaborar com os seus colegas, o que levou a preocupações com a cibersegurança.

Zoom, uma plataforma conhecida pela sua simplicidade e fiabilidade, foi a plataforma que ganhou mais popularidade graças à rápida adaptação da sua empresa-mãe à mudança e à melhoria das características para os utilizadores. Aplicações semelhantes como Skype e Equipas receberam menos atenção da Microsoft, o que permitiu que o Zoom se tornasse rapidamente um favorito para organizações e equipas em todo o mundo pela sua simplicidade.

O crescimento vem com o risco

No início de Abril de 2020, as acções da empresa tinham aumentado mais de 200% em relação ao início do ano, mesmo depois do S&P 500 ter caído cerca de 20% no mesmo período de tempo. Enquanto o preço das acções se nivelou novamente, a equipa de operações de engenharia da Zoom continuou a adicionar servidores e outros equipamentos em cada uma das 17 localizações dos centros de dados da empresa para acomodar a sua base de utilizadores em rápido crescimento.

No entanto, uma rápida mudança transformacional pode trazer riscos. Embora o Zoom seja conveniente e fácil de usar, qualquer aplicação de videoconferência pode ainda representar riscos para os utilizadores, incluindo a possibilidade de espionagem, roubo de dados, perda de privacidade, assédio, e muito mais. E devido à sua lista de características em rápido crescimento, o Zoom tem sofrido algumas falhas de privacidade nos últimos anos.

Falhas de Segurança do Zoom: Questões resolvidas

Neste artigo, vamos cobrir tudo o que precisa de saber sobre segurança e privacidade cibernética no Zoom, incluindo as vulnerabilidades de segurança que têm surgido nos últimos anos. Na altura da redacção deste artigo, não existem vulnerabilidades conhecidas e não corrigidas, mas várias surgiram nos últimos meses.

Abaixo, encontrará notáveis vulnerabilidades de segurança que surgiram durante o período de crescimento considerável do Zoom durante a pandemia COVID-19.

1. Vulnerabilidade do cliente Mac Zoom (Zoom fixo isto)

Em Julho de 2019, uma vulnerabilidade era descoberto em Zoom's Mac desktop client: Os websites maliciosos tinham a capacidade de ligar a webcam de um Mac sem o conhecimento do utilizador.

Esta vulnerabilidade deriva de como o Zoom permite aos utilizadores começar ou juntar-se a uma reunião simplesmente clicando numa ligação web, o que cria um servidor web local que funciona na máquina do utilizador. Embora isto seja conveniente para os utilizadores, na altura em que foi lançado, também permitiu que reuniões com vídeo e áudio fossem lançadas sem autorização adicional do utilizador. Assim, permitia aos atacantes iniciar uma reunião e ligar a câmara de um computador sem primeiro obterem a autorização do utilizador do computador.

Os utilizadores foram capazes de se protegerem desta vulnerabilidade, desactivando a capacidade do Zoom de ligar a sua webcam quando se juntam a uma reunião. No entanto, esta vulnerabilidade de segurança era remendado relativamente depressa.

2. Zoom Reunião ID Vulnerabilidade (Zoom Fixo Isto)

Em Janeiro de 2020, os investigadores encontrado que era possível explorar a forma como o Zoom gera URLs para salas de conferência virtuais para escutar as reuniões. Utilizando ferramentas automatizadas para gerar IDs aleatórios de salas de reuniões, os investigadores descobriram durante os testes que podiam gerar ligações a reuniões Zoom reais sem protecção por palavra-passe em cerca de 4% dos casos.

Os IDs das reuniões de zoom eram compostos por 9, 10 ou 11 dígitos e, na altura, se não activou o "Requisitar Password de Reunião" ou activar a Sala de Espera do Zoom - que permite a admissão manual de participantes - estes 9, 10, ou 11 dígitos foram a única coisa que impediu a ligação de pessoas não autorizadas à sua reunião. Foram também facilmente quebrados por hackers.

Os utilizadores poderiam proteger-se desta vulnerabilidade, assegurando que tinham o versão mais recente do Zoom, uma vez que o software foi actualizado para mitigar este problema.

Três novas vulnerabilidades Zoom foram descobertas em finais de Março e princípios de Abril de 2020. Estas não foram consideradas tão graves como as vulnerabilidades anteriores, uma vez que exigiam mais trabalho para serem executadas.

Alguns vectores de ataque exigiam que os hackers tivessem acesso ao computador de uma vítima, enquanto outro empregou a engenharia social para enganar os utilizadores na interacção com os maus actores. No entanto, os utilizadores do Zoom afectados por estas vulnerabilidades poderiam ainda sofrer com o roubo e abuso de dados. Zoom endereçado e remendado estas vulnerabilidades de forma relativamente rápida.

3. Zoom Mac Security Vulnerability (Zoom Fixa Isto)

Um investigador de segurança chamado Patrick Wardle encontrou uma vulnerabilidade de segurança crítica em Agosto de 2022, que poderia permitir a um hacker controlar o Mac de um utilizador, alterando os ficheiros à medida que o consideravam adequado. O Zoom corrigiu o problema rapidamente, pelo que assegurar que o seu software está actualizado o ajudará a evitar este problema.

4. Agência Indiana de Segurança Cibernética Identifica 2 Vulnerabilidades (Zoom Fixo Isto)

Em Setembro de 2022, a equipa indiana de resposta a emergências informáticas (CERT-In) destacou uma série de vulnerabilidades de segurança no software do Zoom. Uma poderia supostamente permitir a um hacker aceder a uma reunião do Zoom sem autorização, enquanto a outra poderia permitir a um actor malicioso aceder a ficheiros de áudio e vídeo sem autorização. O Zoom demorou cerca de um mês a corrigir esta falha.

Infelizmente, estas falhas de segurança foram directamente atribuídas ao patch de segurança lançado em Agosto, a fim de corrigir a questão Mac. Isto realça a necessidade permanente de vigilância e educação abrangente sobre ciber-segurança, pois os patches podem muitas vezes introduzir novos riscos de segurança que não estavam presentes no software antes.

Zoom Preocupações de privacidade

Para além das vulnerabilidades de segurança, também precisa de estar atento a potenciais falhas de privacidade que possam expor a sua informação sem o seu conhecimento. Falhas de segurança tais como estas podem ser bugs que são ocasionalmente descobertos, excessos na forma como um produto ou serviço foi concebido, ou simplesmente políticas de privacidade mal redigidas que partilham os seus dados de uma forma excessiva.

Como resultado, temos destacado alguns exemplos deste tipo de preocupações. Tenha em mente que certas características já não estão disponíveis.

1. Zoom sabe se está a prestar atenção à chamada (Zoom removeu isto)

Sempre que recebe uma chamada, costumava ter a opção de activar o seguimento da atenção dos participantes do Zoom característica. Esta funcionalidade alertaria o anfitrião da chamada sempre que alguém estivesse na chamada".não tem o Zoom Desktop Client ou Mobile App em foco durante mais de 30 segundos.”

Por outras palavras, se estivesse numa chamada Zoom e tivesse clicado longe de Zoom, o anfitrião da chamada teria sido notificado após 30 segundos, independentemente de ter minimizado o Zoom para tomar notas, verificar o seu e-mail, ou responder a uma pergunta sobre outra aplicação. Esta funcionalidade só funcionava se alguém na chamada estivesse a partilhar o seu ecrã, mas o Zoom removeu a funcionalidade em 2020 como parte do seu "compromisso com a segurança e privacidade dos utilizadores".

2. Colecções de Zoom e Dados de Acções

De acordo com a empresa política de privacidadeZoom recolhe dados sobre si, incluindo o seu nome, endereço físico, endereço electrónico, número de telefone, título de emprego, e empregador. Mesmo que não crie uma conta com Zoom, esta irá recolher e manter dados sobre o tipo de dispositivo que está a utilizar e o seu endereço IP. Um endereço IP pode ser utilizado para inferir uma localização geográfica, e como tal, recomenda-se a utilização de Zoom em conjunto com uma VPN se estiver interessado numa maior privacidade.

Enquanto o Zoom afirma que não vende dados pessoais a terceiros,"partilha efectivamente dados pessoais com terceiros para os "fins comerciais" dessas empresas. E isso pode incluir a transmissão das suas informações pessoais ao Google. Deve também ter em mente que se estiver a utilizar software Zoom que foi adquirido sob licença a um fornecedor de software que não o próprio Zoom, esse fornecedor poderá ter acesso aos seus dados e conteúdos pessoais.

De acordo com a política de privacidade, isto inclui "reuniões, webinars, e mensagens". Não parece haver qualquer clareza sobre se esses terceiros podem aceder a informações simples, tais como a hora e data de uma reunião ou uma gravação completa de vídeo e áudio.

3. O Zoom dá aos anfitriões um poder significativo

Estas capacidades incluem a capacidade de registar reuniões e transcrições de pedidos, bem como a responsabilidade de manter quaisquer dados de reuniões em segurança, quer estejam armazenados num portátil ou sob a palavra-passe de um anfitrião na nuvem do Zoom.

Como proteger os seus dados

Há três maneiras fáceis de proteger a sua privacidade durante as chamadas Zoom:

1. Utilizar dois dispositivos durante as chamadas Zoom.

Se estiver a assistir a uma chamada Zoom no seu computador, use o seu telefone para verificar o seu e-mail ou conversar com outros participantes da chamada. Desta forma, não desencadeará um alerta de rastreio de atenção.

2. Não utilize o Facebook para iniciar sessão.

Embora isto poupe tempo, é uma má prática de segurança e aumenta dramaticamente a quantidade de dados pessoais a que o Zoom pode aceder.

3. Procure um ícone que lhe diga quando uma reunião está a ser gravada pelo anfitrião.

Se se sentir à vontade para o fazer, peça ao seu anfitrião para ligar a funcionalidade que requer o consentimento dos participantes antes de uma gravação poder começar. Se for o anfitrião de uma videoconferência, sugerimos que utilize a funcionalidade, que é desligada por defeito.

Eventos virtuais Zoom

Com muitos agora confinados a casa, as pessoas utilizam cada vez mais o Zoom para acolher eventos virtuais. O Zoom tem publicado as suas próprias dicas e recomendações para manter a segurança e a privacidade enquanto gere tais eventos, a fim de evitar gatecrashers indesejados:

Quando partilha o seu link de reunião nas redes sociais ou outros fóruns públicos, isso faz com que o seu evento extremamente público. Qualquer pessoa com o link pode juntar-se à sua reunião.
Evite usar o seu ID de reunião pessoal (PMI) para acolher eventos públicos. O seu PMI é basicamente uma reunião contínua, e não quer que pessoas inesperadas invadam o seu espaço virtual pessoal após o fim da festa.
Familiarize-se com as configurações e características do Zoom para que compreenda como proteger o seu espaço virtual quando for necessário. Por exemplo, a Sala de Espera é uma funcionalidade extremamente útil que permite aos anfitriões controlar quem entra e sai.

1. Gerir a partilha do ecrã

A primeira regra do Clube Zoom: Não desista do controlo do seu ecrã.

Não quer que pessoas aleatórias no seu evento público assumam o controlo do seu ecrã e partilhem conteúdos indesejados. Pode restringir a capacidade de rastreio da partilha da barra de controlo do anfitrião, tanto antes como durante a reunião.

2. Gerir os seus participantes

O Zoom oferece uma série de opções para gerir os participantes da reunião:

Permitir apenas a adesão de utilizadores assinantes: Se alguém tentar juntar-se ao seu evento mas não estiver ligado ao Zoom com um e-mail para o qual o convite foi enviado, receberá a mensagem "Esta reunião é apenas para os participantes autorizados.” Esta opção é útil se quiser controlar a sua lista de convidados e convidar apenas aqueles que deseja para os seus eventos, tais como colegas ou outros estudantes da sua escola.
Bloquear a reunião: É sempre inteligente trancar a porta da frente, mesmo quando se está dentro de casa. Quando se tranca uma reunião Zoom já iniciada, nenhum novo participante pode aderir, mesmo que tenha o ID e a palavra-chave da reunião (se tiver requerido uma).
Estabeleça a sua própria autenticação de dois factores: Esta opção permite-lhe gerar um ID de reunião aleatório ao agendar o seu evento e exigir uma palavra-passe para aderir. Pode então partilhar esse Meeting ID no Twitter, mas enviar a palavra-passe apenas aos participantes convidados via DM.
Remover participantes indesejados ou perturbadores: Tem também a opção de retirar os participantes da sua reunião.
Colocar os participantes em espera: Pode também colocar todos os outros em espera, e as ligações de vídeo e áudio dos participantes serão momentaneamente desactivadas.

Outras opções incluem desactivar o vídeo de um participante, mutilar os participantes, bloquear a transferência de ficheiros através do chat na reunião, desactivar a função de chat privado, e muito mais. Para instruções mais detalhadas, verificar os links acima, bem como rever os melhores conselhos para garantir a sua reunião.

3. Experimente a Sala de Espera

Uma das melhores formas de utilizar o Zoom para eventos públicos é permitir o Sala de espera característica. Tal como o seu nome sugere, a Sala de Espera é uma área de encenação virtual que impede os seus convidados de se juntarem até estarem prontos para eles. É um pouco como a corda de veludo à porta de uma discoteca, consigo como o segurança a vigiar cuidadosamente quem entra.

Os anfitriões das reuniões podem personalizar a configuração da Sala de Espera para um controlo adicional, e pode até personalizar a mensagem os participantes vêem ao entrar na Sala de Espera para saberem que estão no lugar certo. A Sala de Espera é um local ideal para afixar quaisquer regras/orientações para o seu evento, tais como os seus objectivos e a quem se destina.

Isto vídeo sobre a criação de Salas de Espera fornece detalhes adicionais.

Resumo

O Zoom está focado em fazer algo que antes era complicado, como a videoconferência, extremamente simples para os utilizadores. No entanto, a tecnologia envolve quase sempre um compromisso entre conveniência e segurançae é comum que a própria tecnologia que utilizamos seja mais produtiva para nos colocar a nós e às nossas informações pessoais em risco.

Agora sabe como se proteger enquanto utiliza o Zoom, e como evitar escutas, roubo de dados, perda de privacidade, e assédio online enquanto utiliza a ferramenta. Se estiver a utilizar o Zoom numa organização, deve assegurar-se de que a sua força de trabalho é plenamente instruídos sobre os riscos que podem ser colocados à ciber-segurança através do software e ferramentas que utilizam.

Em resumo, os itens mais importantes a lembrar sobre segurança cibernética e privacidade em Zoom são os seguintes:

Mantenha o seu software Zoom actualizado
Desactivar a capacidade do Zoom para ligar a sua webcam quando se junta a uma reunião
Não utilize o Facebook para iniciar sessão
Ao acolher um evento, gerir os seus locais de reunião e os participantes
Ao participar em reuniões, desconfie se a reunião está a ser registada
Leia a política de privacidade e os termos de serviço antes de utilizar qualquer software. Se não estiver satisfeito, utilize uma alternativa
Assegure-se de que escolhe o melhor formação em ciber-segurança para o pessoal que precisa de se manter actualizado sobre as melhores práticas

Lembre-se, mesmo que opte por não utilizar Zoom, muitas destas directrizes também se aplicam a outras aplicações de videoconferência e outras ferramentas digitais. Fique a salvo!

Proteja a sua Organização contra Phishing

Partilhar

Explorar mais recursos

Artigo

9 Dicas mais importantes de Cibersegurança para os seus Empregados

As organizações estão inundadas com dicas de segurança cibernética - mas quais são as mais importantes

Artigo

8 Ameaças Cibernéticas de Segurança Móvel que Deve Levar a Sério

Entre 80 a 90% das aplicações móveis contêm uma vulnerabilidade de segurança. Saiba mais sobre a

Artigo