Zoom corrige falha de segurança em app para Macs; entenda o caso

A Zoom liberou nesta semana um patch para corrigir uma falha de segurança na versão desktop para Mac do seu aplicativo de videochamada. A vulnerabilidade poderia permitir que hackers assumissem controle da webcam de um usuário.

O bug foi descoberto pelo pesquisador de segurança Jonathan Leitschuh, que publicou informações sobre o assunto em um post no seu blog na última segunda-feira, 8/7. A falha potencialmente afetava 750 mil empresas e cerca de 4 milhões de usuários do Zoom, de acordo com o especialista.

A Zoom disse que não viu “nenhuma indicação” de que qualquer usuário tenha sido afetado. Mas as preocupações sobre a falha e como ela funciona levantaram questões sobre a possibilidade de outros apps similares poderem ser igualmente vulneráveis.

A falha envolve um recurso no app do Zoom que permite aos usuários entrarem em uma videochamada rapidamente com um clique, graças a um link de URL única que leva o usuário imediatamente para a videochamada. (O recurso é feito para abrir o app de forma rápida e simples, com foco em uma melhor experiência para o usuário.)

Apesar de a Zoom dar aos usuários a opção de manter a câmera desligada antes de entrar em uma chamada – e os usuários depois podem desabilitar a câmera nas configurações do aplicativo – o padrão é que a câmera esteja acionada.

Leitschuh apontou que o recurso poderia ser usado para propósitos nefastos. Ao direcionar um usuário para um site contendo um link de acionamento rápido incorporado e escondido no código do site, o app do Zoom poderia ser aberto por um invasor, que, no processo, poderia acionar a câmera ou o microfone sem a permissão do usuário. Isso é porque o Zoom também instala um web server quando o app desktop é baixado.

Uma vez instalado, o web server permanece no dispositivo – mesmo depois que o app do Zoom é deletado.

Após o pesquisador publicar o post sobre o assunto, a Zoom diminuiu as preocupações sobre o websever. Na última terça, 9/7, no entanto, a companhia liberou um pacth de emergência para remover o web server dos Macs.

“Inicialmente, não vimos o web server ou a postura do vídeo acionado como riscos significativos para os nossos usuários e, na verdade, sentimos que eram elementos essenciais para o nosso processo de entrada simples”, afirmou o CISO da Zoom, Richard Farley, em um post no blog da empresa. “Mas ao ouvir o clamor de alguns dos nossos usuários e da comunidade de segurança nas últimas 24 horas, decidimos fazer as atualizações no nosso serviço.”

A Apple também liberou um update “silencioso” na quarta-feira, 10/7, que garante que o web server foi removido de todos os Macs, conforme aponta o Techcrunch. Esse update também ajuda a proteger os usuários que apagaram o Zoom.

Preocupações em clientes corporativos

Foram registrados diferentes níveis de preocupação sobre a severidade da falha em questão. Segundo o Buzzfeed News, o pesquisador classificou a seriedade da vulnerabilidade em 8.5 de 10; a Zoom classificou a falha em 3.1 seguindo o seu próprio review.

Irvwin Lazar, VP e diretor de serviços da Nemertes Research, afirmou que a vulnerabilidade em si não deveria ser motivo de grande preocupação para as empresas, uma vez que os usuários perceberiam rapidamente o app do Zoom sendo aberto no desktop.

“Não penso que seja muito significativa”, afirma. “O risco é se alguém clicar em um link fingindo ser para uma conferência, e então o seu cliente Zoom ser iniciado e conectá-lo na reunião.” Se o vídeo tiver sido configurado como acionado por padrão, um usuário seria visto até perceber que tinha entrado em uma videochamada sem saber. “Eles perceberiam o cliente do Zoom sendo acionado, e então veriam imediatamente que entraram em uma reunião. No pior dos casos, eles ficam na câmera por alguns segundos antes de saírem da conferência.”

Apesar de não terem sido registrados problemas por conta da vulnerabilidade, a preocupação maior é pelo tempo que a Zoom levou para responder ao problema, aponta Daniel Newman, analista principal da Futurum Research.

“Há duas maneiras de olhar para isso”, afirma Newman. “Depois da quarta, com base no patch que foi liberado, a vulnerabilidade não é tão significativa.”

“No entanto, o que é significativo para os clientes corporativos é como esse problema se arrastou por meses sem uma resolução, como os patches iniciais poderiam ter sido liberados recriando a vulnerabilidade e agora precisar se perguntar se o patch mais recente será realmente uma solução permanente”, aponta Newman.

Leitschuh afirmou que ele avisou a Zoom originalmente sobre a vulnerabilidade no final de março, um pouco antes do IPO da empresa, em abril, e foi inicialmente informado que o engenheiro de segurança da Zoom estava “fora do escritório”. Uma solução completa só foi liberada após a vulnerabilidade ser revelada publicamente.

“Em última análise, a Zoom falhou em confirmar rapidamente que a vulnerabilidade relata realmente existia e falharam em ter uma solução para o problema entregue aos usuários de uma maneira rápida”, apontou. “Uma organização deste perfil e com uma base de usuários tão grande deveria ter sido mais proativa em proteger seus usuários do ataque.”

Em um comunicado publicado na quarta-feira, 10/7, o CEO da Zoom, Eric S Yuan afirmou que a companhia tinha “julgado de maneira errada a situação e não respondeu de forma rápida suficiente – e que isso é culpa nossa. Assumimos toda a responsabilidade e aprendemos muito com a situação. O que posso dizer a vocês é que levamos a segurança do usuário muito a sério e que estamos totalmente comprometidos em fazer a coisa certa para os nossos usuários.”