Quão segura é a app mais valiosa do mundo, Zoom? E devo ou não usá-la?

    Zoom
    Zoom

    Alguma falta de transparência e uso pouco cuidadoso de utilizadores trouxeram os holofotes da (in)segurança para a app do momento, que já vale mais de 30 mil milhões. Analistas indicam como a Zoom pode ser útil para o utilizador comum, mas pouco recomendada para conversas empresariais secretas.

    A Zoom Video conseguiu aquilo que apps de gigantes tecnológicos como a Google ou a Microsoft não conseguiram: tornar-se na primeira app que a maioria procura para fazer videoconferências em tempos de isolamento físico e pandemia. Com a atenção e a avaliação milionária – é a app mais valiosa do mundo – chegou também maior escrutínio. No final da semana passada a empresa viu-se envolvida numa polémica relacionada com a segurança dos seus utilizadores – nada que o Facebook e companhia não saibam o que é -, mas que acabou por ser provocada pela própria empresa.

    Resumindo desde já: relatórios recentes e indicações de especialistas mostram que, para a maioria dos utilizadores – e depois de algumas melhorias -, a Zoom Video é segura para a maioria das pessoas usar e não difere muito de Messenger ou Skype – nenhum deles têm a chamada encriptação porta-a-porta, end-to-end, disponível. Já para organizações como governos ou autoridades que usem o serviço, deve haver alguns cuidados extra.

    Mas comecemos pela importância atual da Zoom.

    Quão valiosa é a Zoom Video (não confundir com outras empresas chamadas Zoom)?

    O valor de mercado atual da Zoom Video ronda os 35 mil milhões de dólares (já chegou a superar os 40 mil milhões a semana passada), mais do que o valor combinado atual de todas as companhias aéreas norte-americanas (27 mil milhões). O valor recorde para uma app de videoconferência era impensável há apenas uns meses – no final de 2019 a Zoom Video era considerada sobrevalorizada por muitos analistas e valia 18,8 mil milhões de dólares, hoje vale o dobro mesmo depois dos mediatizados problemas de segurança.

    Na sexta-feira passada a Zoom Cloud Meetings era a app com mais downloads em Portugal, tanto na loja da Apple como na loja da Google – esta segunda-feira caiu, em iOS, para o segundo lugar, logo atrás da app social TikTok. Ou seja, outrora mais vista com ferramenta de reuniões para empresas e pouco conhecida em Portugal, hoje tornou-se numa app de popularidade geral e planetária, rivalizando com redes sociais e com Netflix, Glovo, Uber Eats e companhia. No entanto, nos EUA as notícias recentes estão já a prejudicar esse crescimento que tem mantido a app no número 1 de downloads feitos em várias países há semanas.

    Depois de várias celebridades, políticos e universidades já usarem Zoom, outras escolas privadas e públicas, começaram a fazer o mesmo nas últimas semanas – mesmo em Portugal – para dar aulas aos seus alunos em videoconferências que podem ter dezenas de pessoas em simultâneo.

    A popularidade (em março teve 535% de aumento de tráfego diário) está muito associada à facilidade e fiabilidade de uso (em termos de qualidade das chamadas) e a forma como se pode convidar pessoas, mesmo sem conta, para reuniões de forma instantânea e simples – desde de quinta-feira é preciso instalar a app, ainda assim (devido à sobrecarga nos servidores da empresa).

    Nesse domínio parece ter conquistado especialistas e utilizadores – surgindo em dezenas de artigos inclusive de revistas especializadas até ao final de março como a melhor app para a maioria das pessoas.

    Entretanto, o seu CEO, Eric Yuan, reconheceu esta segunda-feira à CNN problemas de segurança com o crescimento rápido e inesperado que têm tentado minimizar. A Zoom Video foi fundada já em 2011 por Yuan, um engenheiro que trabalhava para a Cisco. O serviço só foi lançado em janeiro de 2013 e muito focado na área corporativa, para uso interno em empresas.

    Quão segura é a app?

    A semana passada a Zoom Video enviou respostas pouco claras relativamente a algumas questões importantes de segurança que trouxeram algum alarme ao seu uso – algo que até já vinha detrás. Apesar de indicar inicialmente que estaria preparada para encriptação end-to-end, a verdade é que o serviço ainda não chegou lá como foi comprovado em relatórios divulgados no final da semana. Esse tipo de encriptação que é usado por WhatsApp e FaceTime, da Apple, mas não chegou a serviços como Messenger ou Skype permite que ninguém, nem a própria empresa, consiga aceder aos dados das chamadas de vídeo.

    A empresa acabou por admitir que ainda não tem esse tipo de encriptação, embora indique que consegue algum tipo de encriptação. À revista Wired, Matthew Green, especialista em encriptação da Universidade Johns Hopkins, explica que a Zoom parece ter resolvido já muitos dos problemas difíceis, mas não foi até o fim”.

    Numa resposta às críticas, já a semana passada, num post feito no blog da Zoom, o seu CPOOded Gal, explica que a empresa permite que os clientes possam gerir as suas chaves privadas – o que permitiria encriptação end-to-end ao instalar fisicamente a infraestrutura Zoom em servidores das suas instalações – uma opção do género mas totalmente na cloud e disponível para todos de forma mais simples será possível no final do ano.

    Alcides Fonseca, professor e investigador em computação da Faculdade de Ciências da Universidade de Lisboa, admite-nos que continua a usar Zoom nas suas aulas e recomenda o seu uso, desde que não se trate daquele feito por empresas ou autoridades que trocam informação confidencial nas conversas, mas aí devem ter tomadas outras precauções (explicamos mais à frente).

    Uma conta gratuita do serviço Zoom permite videochamadas com até 100 participantes, enquanto os utilizadores do nível Enterprise Plus podem incluir até 1.000 pessoas na mesma conversa. O FaceTime da Apple, por exemplo, demorou alguns anos para conseguir encriptação end-to-end para chamadas até 32 participantes. Já a plataforma Hangouts Meet da Google não oferece esse nível de encriptação e permite ter 250 participantes por chamada, tal como o Skype da Microsoft.

    Wired admite mesmo que “para a maioria dos utilizadores na maioria das situações, a segurança atual do Zoom parece adequada”. No entanto, “dada a rápida proliferação do serviço, inclusive em ambientes sensíveis, como governo e assistência médica, é importante que a empresa dê mais explicações sobre a encriptação que oferece e seja clara”.

    E que problemas já houve?

    A empresa terá permitido que o endereço de e-mail de alguns milhares de pessoas fossem divulgados porque foram tratados como se pertencessem a uma mesma empresa. Nos últimos meses houve outros problemas: desde a Apple ter sido forçada a garantir a segurança de milhões de computadores Mac devido à Zoom não ter divulgado que instalava um serviço que podia comprometer as câmaras em caso de invasão por hacker; ou partilha de dados de utilizadores com o Facebook; ou que o organizador de uma conferência podia saber quando os convidados saíam da janela de visualização.

    Uma das mais mediáticas foi o Zoombombing, em que trolls aproveitavam reuniões abertas ou desprotegidas (por configurações iniciais demasiado ligeiras) para transmitir pornografia ou outro material chocante para as outras pessoas da reunião). Isto acontecia porque os códigos (ID) para se aderir a uma reunião em algumas escolas era disponibilizada a um largo número de pessoas – e havia quem aproveitasse para fazer o que não devia – ou porque existiam pessoas a adivinhar números de reuniões ao calhas só para intervir.

    A Zoom já respondeu que tem feito mudanças que limitam a partilha desses códigos mas a resposta chegou tarde já a algumas escolas dos EUA, que começaram a usar alternativas com o Teams, da Microsoft.

    Voltando a Alcides Fonseca, o investigador, doutorado em programação e machine learning, admite que uma das falhas técnicas que a Zoom chegou a ter – e, entretanto, já corrigiu – é “muito comum”. Há um módulo do Facebook que se instala quando estamos a escrever um programa e que começa logo a mandar dados para a rede social de forma automática, quando devemos numa implementação correta só o fazer se o utilizador o permitir”, explica. Apesar disso, esse são dados pouco sensíveis, de utilização e não dados das conversas.

    A nível de encriptação existe o lado técnico e o lado social. No primeiro, “tecnicamente a encriptação não é difícil de adicionar”, “a questão passa pela chamada chave que permite ter acesso a uma conversa e quem tem acesso a ela”, sendo que só quando se assume um segundo canal como único outro detentor da chave se pode chegar à encriptação end-to-end. O professor indica que, mesmo serviços que indicam ter encriptação end-to-end, ou seja, de um utilizador até ao outro sem acesso de terceiros, pode haver formas de a ultrapassar, como já se viu em tribunal o Whatsapp a fazer, já que “como a chamada chave passa pelos seus servidores eles podem acabar por ter acesso ao conteúdo”.

    Dentro da encriptação, o que a maioria dos serviços como a Zoom, Facebook, Gmail, Skype e afins suporta é a encriptação de primeiro nível, que evita que pessoas com acesso a uma rede Wi-Fi ou a uma rede tenham acesso a esses conteúdos.

    O lado social, que é o que interessa à maioria das pessoas, é que a encriptação que serviços como Zoom e outros usam chega para a maioria, porque “se por acaso algum hacker aceder por exemplo ao que estamos a dizer numa aula não é o fim do mundo”. O uso pela divisão de informática da Faculdade de Ciências da Universidade de Lisboa do Zoom é feito por dois motivos, explica Alcides Fonseca: o primeiro é por suportar mais de 100 pessoas em simultâneo, o segundo é pela facilidade de uso”.

    Já se for uma empresa que queira apresentar resultados secretos numa reunião deve usar outro tipo de serviços, que recomendamos no final deste artigo.

    Entretanto, o responsável do programa multimédia em educação da Universidade de Aveiro, António Moreira, admitiu numa conversa de Twitter que muitas questões de segurança a envolver a Zoom já foram tratadas e não vê problemas de maior com o seu uso.

    Mesmo a Forbes, que publicou um artigo de opinião na passada sexta-feira onde não se aconselha, pelo menos nesta altura, o uso da app de forma generalizada, deixa o esclarecimento pelo especialista Patrick Moorhead: “recomendo ainda assim o Zoom para consumidores normais”. Neste caso, o analista indica que houve grandes empresas como SpaceX ou a Apple a proibirem nesta altura o uso da Zoom e que, por isso mesmo, soluções como a Webex, da Cisco, ou o Teams da Microsoft podem ser alternativas.

    Também a semana passada a empresa de cibersegurança israelita Check Point, indicava que os hackers estão atentos ao aumento de tráfego da ferramenta de videoconferência Zoom e que têm havido mais registos de domínios com essa palavra para tentar enganar utilizadores fingindo-se passar pela app.

    Conselhos para se proteger

    Existem alguns conselhos que ajudam a tornar este tipo de serviços de videoconferência a serem um pouco mais seguros, considerando que os níveis de segurança atuais “servem para a maioria das pessoas”, como indica a Wired.

    Parar as Zoombombs – Todas as reuniões da Zoom são baseadas num código de 9 digitos, o ID, se esse número fica público de alguma forma, ou algum hacker o descobre, pode aparecer na conversa e incomodar. Daí que: partilhe esse código de forma controlada, com quem quer que o veja; e crie um novo código para cada conversa. Para tornar a conversa mais controlada, crie uma password para que os participantes a tenham de inserir para entrar. Também é possível, nas opções, ativar a opção de sala de espera, onde pode ver quem quer entrar na reunião e depois aprovar.

    Restringir utilizadores – Como segurança adicional, pode limitar a partilha de ecrã. Para isso vá às Definições no site da Zoom e, na parte de Reuniões, pode ativar a opção em que só a pessoa que gere a reunião pode partilhar o seu ecrã ou apps durante a conversa ou então dar permissão a quem o deseje fazer. Também pode bloquear a reunião, assim que já estão todos os participantes presentes, para que não entre mais ninguém.

    Manter privacidade – Os gestores de cada reunião têm alguns privilégios que incluem gravar a conversa. A opção de se verificar quem está atento já foi desativada, mas na gravação estão os registos das conversas por escrito tidas durante a reunião, por isso, convém perceber isso quando partilha informação nas salas de conversação da reunião.

    Conheça as alternativas

    A facilidade de uso e a possibilidade de qualquer um usar o serviço da Zoom trouxe atenção à empresa. Mas há várias alternativas válidas e seguras. o Google Duo permite agora conversas de grupo para 12 pessoas e as suas chamadas – ao contrário do HangOuts ou Skype – têm encriptação end-to-end mas só em alguns países, o que significa que nem a Google tem acesso do que é ali falado.

    O mesmo se verifica com o FaceTime, só disponível em aparelhos Apple, que permite conversas de grupo até 32 pessoas e são conhecidas as suas disputas com as autoridades norte-americanas para não dar acesso aos seus aparelhos nem às suas ‘chaves’. A desvantagem é que quem não tem produtos Apple (Windows ou Android) não consegue usar.

    Webex é o serviço de videoconferência da Cisco, mais usado a nível empresarial (integrado nos ecrãs nas salas de reuniões) e têm esse nível de segurança de encriptação end-to-end. Permite chamadas até 100 pessoas e, neste momento, o serviço gratuito tem mais opções do que tinha.

    O professor Alcides Fonseca admite a eficácia no mundo empresarial da Webex e dá ainda outra sugestão para empresas: instalar no seu próprio servidor algum dos software disponíveis. A Zoom indica, por exemplo, que já permite às empresas essa mesma opção mas numa instalação física e, para já, ainda sem ser diretamente na cloud. A opção chamada Hosted, ou seja, instalar na rede privada da empresa o serviço de videoconferência faz com que “a segurança dependa da própria rede empresarial, já que os dados não saem de lá”.

    Jitsi“Existe um software de open sourceJitsi, que permite esta opção, de instalar nos servidores da empresa esse serviço, de forma gratuita”. Depois só é preciso manter uma “boa manutenção do servidor da empresa para não correr riscos e usar uma VPN para ter acesso remoto à rede da empresa”, explica Alcides Fonseca.

    Sem necessidade de encriptação end-to-end, existem serviços como o Microsoft Teams, Skype (na verdade o Teams é o substituto do Skype for Business) e Facebook Messenger – quase todos com a possibilidade de 50 pessoas numa conversa e planos gratuitos disponíveis.

    Zuckerberg e Snowden querem, governos não. O bem (e o mal) da encriptação