O zoom não suporta criptografia de ponta a ponta durante reuniões on-line

Zoom Doesn't Support End-to-End Encryption During Meetings

Na terça-feira, o primeiro-ministro do Reino Unido, Boris Johnson, postou um tweet com o qual mostrou a seus seguidores como seu gabinete está funcionando durante a crise causada pelo novo coronavírus. A foto mostrava uma reunião on-line entre o primeiro-ministro Johnson e seus colegas, e seu objetivo era simples - garantir à nação que, mesmo nesses tempos terríveis, os políticos do Reino Unido continuam trabalhando para o bem de todos. Para algumas pessoas, provavelmente fez o seu trabalho como um incentivo moral. Entre a comunidade de segurança, no entanto, levantou muitas sobrancelhas.

A captura de tela mostra que o principal órgão de governança do Reino Unido se comunica através do Zoom, uma plataforma de videoconferência que sofreu um grande aumento de uso graças aos milhões de pessoas que atualmente trabalham em casa. Como solução de videoconferência, o Zoom é bastante sólido, mas os especialistas em segurança pensaram que uma organização tão importante quanto o governo do Reino Unido provavelmente usaria algo personalizado e adaptado às suas necessidades. A segunda coisa que os especialistas em segurança da informação notaram foi que o ID da reunião do Zoom era claramente visível no tweet de Boris Johnson, o que não é realmente uma boa ideia, especialmente quando os assuntos discutidos durante a referida reunião são muito sensíveis. Então, as pessoas começaram a vasculhar os materiais de marketing da Zoom e as coisas pioraram.

As reuniões com zoom não podem ser criptografadas de ponta a ponta neste momento

Também na terça-feira, o The Intercept publicou um relatório sobre uma das opções que o Zoom oferece a seus usuários, e políticos e pessoas encarregadas de grandes organizações provavelmente deveriam ler com atenção.

Ao criar uma reunião do Zoom, um usuário pode ativar "criptografia para endpoints de terceiros". Se o fizerem, os participantes serão informados de que a reunião é criptografada de ponta a ponta. O white paper de segurança que a Zoom publicou em seu site também sugere que esse tipo de criptografia é possível para reuniões, mas a investigação da Intercept revelou que isso simplesmente não é verdade.

As videoconferências com zoom são criptografadas, mas a criptografia não é de ponta a ponta. Em vez disso, o vídeo e o áudio passam por uma conexão TLS ou Transport Layer Security normal. É a mesma tecnologia que os sites e aplicativos usam quando veiculam conteúdo por HTTPS. O Intercept entrou em contato com a Zoom para comentar, e um porta-voz admitiu que, devido a limitações tecnológicas, a verdadeira criptografia de ponta a ponta está disponível apenas para bate-papos na plataforma. Mas o que isso realmente significa para as pessoas que usam o serviço?

Como a falta de criptografia de ponta a ponta afeta os usuários?

Aplicativos de mensagens como WhatsApp e Telegram não evitam o uso da criptografia de ponta a ponta e seus benefícios de privacidade. A principal vantagem da comunicação criptografada de ponta a ponta é que, embora as informações passem pelos servidores do provedor de serviços, o próprio provedor de serviços não tem meios de descriptografá-las.

No caso do Zoom, graças ao TLS, as reuniões são protegidas contra qualquer pessoa que cheire a transmissão de áudio e vídeo enquanto viaja entre os dispositivos dos usuários e os servidores do Zoom. Quando está nos servidores, no entanto, os funcionários da Zoom podem teoricamente descriptografá-lo. Eles vão fazer isso?

As agências policiais podem solicitar à plataforma de conferência on-line a divulgação de dados sobre indivíduos específicos, mas a probabilidade de você ser impactado por isso não é tão grande. A falta de criptografia de ponta a ponta é certamente um problema para políticos como Boris Johnson, mas para a maioria das pessoas que atualmente trabalha em casa, não deve ser grande coisa. O que é um problema, no entanto, é a tentativa inicial de Zoom de minimizar o erro.

Depois de serem questionados sobre o que causou essa confusão, um porta-voz do Zoom disse ao The Intercept que por "criptografia de ponta a ponta", eles queriam dizer que os dados são criptografados em todos os diferentes "pontos finais de zoom" e "pontos finais". significava dispositivos dos usuários. Esse tipo de interpretação liberal de conceitos bem definidos não é realmente aceitável, especialmente quando você tem em mente que a plataforma de que estamos falando é usada pelos governos de algumas das superpotências do mundo. Eventualmente, o Zoom percebeu que não estava fazendo nenhum favor a si próprio e, ontem, publicou uma postagem no blog com a qual admitiu que deixava sua equipe de marketing se empolgar. Os desenvolvedores da plataforma pediram desculpas pela confusão, e agora Boris Johnson e milhões de outros usuários do Zoom decidem se aceitam o pedido de desculpas. Enquanto ele está nisso, Johnson também pode pensar nas precauções de segurança cibernética que seu gabinete toma durante a organização de suas reuniões on-line.

April 2, 2020

Deixe uma Resposta