More

    Problemas de segurança do zoom: aqui está tudo o que deu errado (até agora)


    Você já está usando o Zoom? Todo mundo que foi forçado a trabalhar ou a fazer trabalhos escolares em casa durante o bloqueio do coronavírus parece estar usando a plataforma de videoconferência para reuniões, aulas e até reuniões sociais.

    Há boas razões para o Zoom decolar e outras plataformas não. O zoom é fácil de configurar, fácil de usar e permite que até 100 pessoas participem de uma reunião gratuitamente. Isso simplesmente funciona.

    Mas há uma desvantagem. A facilidade de uso do Zoom facilita aos criadores de problemas “bombardear” as reuniões de Zoom abertas. Os profissionais de segurança da informação dizem que a segurança do Zoom tem muitos buracos.

    Também houve um exame minucioso das políticas de privacidade do Zoom, que até recentemente pareciam dar ao Zoom o direito de fazer o que quisesse com os dados pessoais dos usuários, e suas políticas de criptografia, que foram um pouco enganadoras.

    Isso criou uma reação contra o Zoom. Em 6 de abril, As escolas públicas da cidade de Nova York passaram a proibir as reuniões do Zoom, e outros sistemas escolares fizeram o mesmo, embora Nova York tenha suspendido a proibição do Zoom no início de maio.

    Com todos esses problemas, as pessoas estão procurando outras opções, então confira nosso confronto entre o Skype e o Zoom para ver como um aplicativo de vídeo antigo foi adaptado para videoconferência. Também comparamos o Zoom com o Google Hangouts.

    O zoom ainda é seguro para uso na maioria dos casos

    Tudo isso significa que o Zoom não é seguro? Não. A menos que você esteja discutindo segredos estatais ou corporativos ou divulgando informações pessoais de saúde a um paciente, o Zoom deve ficar bem.

    Nas aulas da escola, nas reuniões após o trabalho ou até mesmo nas reuniões do local de trabalho relacionadas aos negócios de rotina, não há muito risco no uso do Zoom. As crianças provavelmente continuarão reunindo-se a ela, pois podem até usar os filtros do Snapchat no Zoom.

    Dicas de segurança do zoom

    Participe de reuniões do Zoom através do seu navegador da web em vez de usar o software de mesa Zoom. A versão do navegador da Web obtém aprimoramentos de segurança mais rapidamente.

    “A versão da Web fica em uma caixa de proteção no navegador e não possui as permissões de um aplicativo instalado, limitando a quantidade de danos que pode causar”, observa a empresa de segurança da informação Kaspersky.

    Quando você clica em um link para ingressar em uma reunião, seu navegador abre uma nova guia e solicita que você use ou instale o software da área de trabalho Zoom. Mas nas letras miúdas, há um link para “participar do seu navegador”. Clique nisso.

    – Se você estiver organizando uma reunião do Zoom, peça aos participantes da reunião que entrem com uma senha. Isso tornará muito menos provável o bombardeio com zoom.

    O Zoom cria uma enorme “superfície de ataque” e os hackers se empenham de todas as formas possíveis. Eles já registraram muitos domínios falsos relacionados ao Zoom e estão desenvolvendo malware com o tema Zoom.

    A vantagem é que, se muitas falhas no Zoom forem encontradas e corrigidas imediatamente, o Zoom será o melhor – e mais seguro – para ele.

    “Em breve, o Zoom será a ferramenta de conferência mais segura disponível no mercado”, escreveu o jornalista técnico Kim Zetter no Twitter, em 1º de abril. “Mas pena que eles não se salvaram do sofrimento e se envolveram em algumas avaliações de segurança para evitar esse julgamento. fogo.”

    Tudo o que deu errado com o Zoom ultimamente

    Para manter a nós mesmos (e você) sãos, colocamos os problemas mais recentes do Zoom no topo e separamos os problemas mais antigos nos que não foram resolvidos, nos que foram corrigidos e nos que não se encaixam em nenhuma das categorias.

    O mais recente: sexta-feira, junho 12

    Zoom está na água quente nos EUA devido a liberdade de expressão e censura depois, devido às demandas do governo chinês, suspendeu temporariamente as contas de três dissidentes chineses que estavam realizando reuniões abertas em comemoração ao aniversário de 4 de junho do massacre na Praça Tiananmen.

    A empresa pediu desculpas pelas ações em um post de 11 de junho e disse que desenvolveria uma maneira de bloquear os participantes da reunião a partir de determinados locais (isto é, China) sem encerrar as reuniões por completo.

    Isso não foi suficiente para satisfazer mais de uma dúzia de congressistas e senadores americanos de ambos os partidos, que escreveram cartas ao CEO da Zoom, Eric S. Yuan, exigindo saber o quão confortável sua empresa era com o governo de Pequim.

    Quinta-feira, 4 de junho

    Cisco Talos revela duas falhas graves de zoom

    A Talos, uma empresa de pesquisa em segurança da informação de propriedade da Cisco, revelou em 3 de junho que havia encontrado duas falhas sérias nos aplicativos clientes Zoom, ambos agora corrigidos.

    A primeira falha teria permitido que um invasor usasse um GIF animado criado especialmente, colocado em um bate-papo da reunião do Zoom, para invadir o software cliente do Zoom nas máquinas de outras pessoas para forçar a instalação de malware ou, como disse o Talos, “obter execução arbitrária de código”.

    A segunda falha também envolve a função de bate-papo no software de reunião do Zoom, com conseqüências potenciais igualmente sérias. O problema era que o Zoom não validava o conteúdo de arquivos compactados compartilhados, como arquivos .zip.

    Um invasor pode ter enviado malware na forma de um arquivo compactado para um usuário por meio do bate-papo da reunião do Zoom, e o cliente Zoom do usuário teria salvo e aberto o malware no diretório do aplicativo Zoom.

    Pior ainda, se o usuário salvar o arquivo compactado Zoom em outro local do PC, como na área de trabalho, o atacante poderá enviar uma versão alterada do primeiro arquivo com o mesmo nome.

    O Zoom abriria a segunda versão (mas não a primeira) automaticamente, permitindo que o malware “usinasse binários em caminhos quase arbitrários e … potencialmente sobrescritasse arquivos importantes e levasse à execução arbitrária de códigos”.

    Segunda-feira, 1 de junho

    A próxima criptografia de ponta a ponta do Zoom é principalmente para usuários pagos, como o próprio Zoom afirmou em 7 de maio. Mas Alex Stamos, um conhecido especialista em segurança da informação que está consultando o Zoom em questões de segurança, disse à Reuters na semana passada que escolas e outras empresas sem fins lucrativos também poderão obter a criptografia de ponta a ponta de suas contas.

    “O CEO está analisando argumentos diferentes”, disse Stamos à Reuters. “O plano atual é de clientes pagos e contas corporativas em que a empresa sabe quem eles são”.

    Quarta-feira, 27 de maio

    Todos os administradores do Zoom Rooms precisam atualizar seu software até 30 de maio, disse Zoom em 26 de maio.

    A atualização para o Zoom 5.0 fornecerá “mais controles de segurança e privacidade do host”, disse Zoom, mas também “atenderá aos requisitos mínimos da versão 5.0 ou superior para a criptografia GCM, que será ativada e exigida para todas as reuniões em 30 de maio”.

    Mais informações sobre a atualização do Zoom Rooms estão aqui. As atualizações 5.0 do software cliente Zoom foram enviadas para usuários de Windows, Mac, Android, iOS, Chrome OS, Amazon Fire e Linux no final de abril.

    Quinta-feira, 21 de maio

    Mais duas instâncias de instaladores corrompidos do Zoom foram encontradas pelos pesquisadores da Trend Micro.

    O primeiro abre um backdoor em um PC; o segundo espia o dono do PC com capturas de tela, keylogging e seqüestro de webcam e desenha o PC na botnet Devil Shadow.

    Ambos os instaladores instalam o cliente do software Zoom, portanto as vítimas podem não ser as mais sábias. Como sempre, obtenha seu software Zoom diretamente do site da Zoom, no Zoom.us, ou participe de uma reunião do Zoom diretamente do seu navegador.

    Segunda-feira, 18 de maio

    Zoom sofreu uma interrupção inexplicável no domingo, 17 de maio, tornando-a indisponível para milhares de usuários nos EUA e no Reino Unido. A interrupção, que começou no domingo pela manhã no Reino Unido, durou várias horas e afetou os cultos on-line da igreja nos dois países. Até o briefing diário de coronavírus do governo britânico foi afetado, eliminando a capacidade dos jornalistas de fazer perguntas sobre o Zoom.

    Alguns usuários relataram no Twitter que o logoff das contas do Zoom e o logon novamente pareciam resolver o problema.

    A página de status de Zoom notou que uma atualização de back-end ocorreu no domingo de manhã, mas não parecia haver nenhuma ligação entre essa atualização e a interrupção que começou algumas horas depois.

    A página de status do Zoom dizia na época que as interrupções “parecem estar limitadas a um subconjunto de usuários” e que o Zoom estava “trabalhando para identificar a causa raiz e o escopo desse problema”. Algumas horas depois, o problema foi declarado “resolvido” sem mais detalhes.

    Terça-feira, 12 de maio

    Os cibercriminosos podem ter registrado centenas de novos endereços de sites relacionados ao Zoom nas últimas semanas, de acordo com pesquisadores da empresa de segurança israelense Check Point.

    Muitos desses sites estão sendo usados ​​em ataques de phishing para capturar nomes de usuário e senhas do Zoom das vítimas, e golpes similares estão alavancando plataformas rivais de videoconferência, como o Google Meet e o Microsoft Teams.

    No fim de semana, vândalos on-line sequestraram a cerimônia de formatura na Universidade de Oklahoma City, substituindo o feed de vídeo Zoom por linguagem e símbolos racistas. Não ficou claro imediatamente se isso foi resultado de um bombardeio regular com zoom ou se os invasores usaram métodos menos conhecidos para interromper o feed de vídeo.

    Sexta-feira, 8 de maio

    O Zoom proíbe usuários livres de chamadas de suporte técnico

    A Zoom anunciou em 7 de maio que, devido à sobrecarga de ligações da equipe de suporte técnico, seria capaz de prestar assistência técnica pessoal apenas a “proprietários e administradores” de contas pagas.

    Em outras palavras, qualquer usuário, proprietário ou administrador de uma conta gratuita do Zoom e usuários finais de contas pagas não terão direito a ajuda humana. Em vez disso, eles terão que confiar nas listas de perguntas frequentes e instruções na página de recursos on-line do Zoom.

    Por enquanto, esta disposição se aplica apenas a maio e junho de 2020. Se o bloqueio do coronavírus durar mais do que isso, o Zoom poderá precisar contratar mais funcionários de suporte técnico.

    Zoom promete reforçar a segurança de acordo com o procurador-geral de Nova York

    O escritório da procuradora-geral do Estado de Nova York, Letitia James, chegou a um acordo com a Zoom em 7 de maio, após uma investigação sobre as práticas de segurança e privacidade da Zoom.

    Não há muitas coisas novas no acordo. A maioria das reclamações do NYAG com o Zoom envolvia questões discutidas nesta história que você está lendo. A maioria das estipulações adotadas pela Zoom são coisas que a empresa já está fazendo, incluindo a obrigatoriedade de senhas e o uso de uma melhor criptografia.

    A longo prazo, o Zoom precisa realizar revisões regulares de código e realizar exercícios anuais de teste de penetração, nos quais hackers pagos tentam romper as defesas da empresa.

    Apenas duas coisas novas afetarão diretamente os consumidores. O Zoom precisa aprimorar a segurança da senha, impedindo ataques automatizados de preenchimento de senha (como adicionar CAPTCHAs às páginas de login) e deve redefinir automaticamente as senhas comprometidas.

    Ele também precisa atualizar suas políticas de uso aceitável para proibir “a conduta abusiva inclui o ódio contra outras pessoas com base em raça, religião, etnia, origem nacional, gênero ou orientação sexual”.

    Francamente, essas são políticas padrão de longa data em muitas outras empresas on-line, por isso estamos um pouco surpresos por elas ainda não serem políticas de Zoom.

    Quinta-feira, 7 de maio

    A Zoom está comprando a pequena startup de Nova York Keybase em uma tentativa de implementar rapidamente a verdadeira criptografia de ponta a ponta para as reuniões do Zoom, anunciou o CEO da Zoom, Eric S. Yuan. O preço de compra ou outros termos do negócio não foram divulgados.

    O Keybase cria software fácil de usar para criptografar de maneira fácil e segura mensagens de mensagens e mídias sociais.

    Em março, o Zoom teve que admitir que sua encriptação “de ponta a ponta” não era real, porque os próprios servidores da Zoom sempre conseguem acessar o conteúdo das reuniões. Uma vez incorporada a tecnologia da Keybase, isso nem sempre será o caso.

    Quarta-feira, 6 de maio

    As senhas e salas de espera das reuniões serão exigidas por padrão para todas as reuniões do Zoom, gratuitas ou pagas, a partir de 9 de maio, anunciou o Zoom. Somente os hosts poderão compartilhar suas telas por padrão, mas, como as outras configurações, isso pode ser alterado.

    Terça-feira, 5 de maio

    Zoom CEO Yuan aborda questões de segurança e nacionalidade

    Em um post no blog da empresa, o CEO da Zoom, Eric S. Yuan, disse que o aumento maciço no uso da Zoom desde o início do bloqueio do coronavírus foi “desafiador”, mas também forneceu “oportunidades para promover mudanças e melhorias significativas”.

    Yuan admitiu que “não conseguimos definir recursos de segurança pré-configurados para nossos novos clientes, especialmente para escolas”, referindo-se à reunião de senhas e salas de espera. “Em vez disso, assumimos que eles entenderiam nossa plataforma como nossos clientes comerciais entenderiam nossa plataforma e customizariam esses recursos”.

    Isso resultou em “pessoas não convidadas, ofensivas e, às vezes, até mesmo más, interrompendo as reuniões”, escreveu Yuan. (Essa pessoa interrompeu uma reunião do Zoom sobre violência sexual na área da baía na semana passada.)

    Yuan também abordou rumores sobre seus próprios vínculos e os de Zoom com a China. Ele disse que vive nos EUA desde 1997 e se tornou cidadão dos EUA em 2007, e que a Zoom é uma empresa totalmente americana.

    “Semelhante a muitas empresas multinacionais de tecnologia, a Zoom tem operações e funcionários na China… Operados por subsidiárias da empresa controladora dos EUA”, escreveu Yuan. “Nossas operações na China são materialmente semelhantes às de nossos pares nos EUA, que também operam e têm funcionários lá”.

    “Temos 1 (um) data center co-localizado na China [that is] é administrado por uma empresa australiana líder e é protegido por áreas geográficas “, acrescentou Yuan.” Ele existe principalmente para satisfazer nossos clientes da Fortune 500 que possuem operações ou clientes na China e desejam usar nossa plataforma para se conectar a eles “.

    Segunda-feira, 4 de maio

    Um repórter do Financial Times de Londres renunciou depois que ele foi pego quebrando reuniões internas do Zoom em jornais rivais de Londres.

    Mark Di Stefano anunciou sua demissão no Twitter depois que o The Independent documentou como Di Stefano havia se juntado na semana passada a uma reunião da equipe do Independent sobre cortes de salários e licenças, primeiro em nome próprio e depois anonimamente.

    Pouco tempo depois, o Financial Times publicou uma história de Di Stefano sobre o The Independent fazendo cortes. Di Stefano citou suas fontes como “pessoas de plantão”, disse o Independent.

    O Independent também descobriu que o celular de Di Stefano havia sido usado anteriormente para acessar uma reunião do Zoom no Evening Standard, outro jornal de Londres. Essa reunião foi seguida por um artigo do Financial Times sobre as licenças do Evening Standard e os cortes nos salários.

    Sexta-feira, 1 de maio

    O Zoom não é a única plataforma de videoconferência a ter políticas de privacidade questionáveis, afirmou o Consumer Reports em um post no blog: Cisco Webex, Microsoft e Microsoft e Skype e Duo, Meet e Hangouts também.

    “Todas as três empresas podem coletar dados enquanto você está em uma videoconferência, combiná-las com informações de corretores de dados e outras fontes para criar perfis de consumidores e potencialmente acessar os vídeos para fins como o treinamento de sistemas de reconhecimento facial”, disse a Consumer Reports.

    O Consumer Reports disse que você deve saber que tudo em uma reunião em vídeo pode ser gravado, pelo host ou por outro participante.

    Também recomendava discar para reuniões de videoconferência por telefone, não criar contas com os serviços, se possível, e usar endereços de e-mail “gravadores” caso contrário.

    Quinta-feira, 30 de abril

    Zoom capturado mentindo novamente

    As ações da Zoom caíram quase 9% na quinta-feira, 30 de abril, o dia em que a empresa ingressou no índice de ações NASDAQ 100.

    Depois de insistir em repórteres do The Verge, o Zoom admitiu que na verdade não tinha um pico recente de 300 milhões de usuários diários, como declarado em um post na semana passada.

    Em vez disso, o Zoom tinha um pico de 300 milhões de “participantes” diários. Se você participar de mais de uma reunião do Zoom por dia, será contabilizado como um “participante” separado a cada vez.

    “Nós involuntariamente nos referimos a esses participantes como ‘usuários’ e ‘pessoas’ ‘”, afirmou Zoom em comunicado ao The Verge. “Esta foi uma supervisão genuína da nossa parte.”

    Então, quantos usuários diários o Zoom tem agora? A empresa não disse.

    Mais instaladores de zoom incorporados a malware

    Pesquisadores da Trend Micro avistaram outro arquivo do instalador do Zoom que havia sido corrompido por malware.

    Nesse caso, é um spyware que pode ligar a webcam, tirar capturas de tela e registrar as teclas digitadas, além de coletar dados de diagnóstico sobre o sistema em que está sendo executado. Ele também instala uma versão totalmente funcional do cliente de desktop Zoom.

    “Como o sistema baixou uma versão legítima do aplicativo Zoom (4.6), não deixará os usuários suspeitos”, observou a equipe da Trend Micro em uma postagem no blog. “No entanto, o sistema já foi comprometido neste momento.”

    Você não precisa instalar nenhum software na área de trabalho para executar o Zoom. Mas se você precisar, obtenha esse software apenas no site oficial em https://zoom.us/download.

    Quarta-feira, 29 de abril

    Ampliar um alvo para hackers estrangeiros

    Zoom é um alvo principal para espiões estrangeiros, especialmente agentes de inteligência chineses, o Departamento de Segurança Interna alertou as agências governamentais dos EUA e as agências policiais, de acordo com a ABC News.

    “O imenso crescimento e uso repentino de Zoom em entidades do setor público e privado, em combinação com seus problemas de cibersegurança altamente divulgados, cria um ambiente vulnerável e rico em alvos”, afirma a análise de inteligência do DHS. “Qualquer organização atualmente usando – ou pensando em usar – Zoom deve avaliar o risco de seu uso.”

    Espiões estrangeiros estariam interessados ​​em qualquer meio de comunicação baseado na Internet que visse um aumento tão acentuado no crescimento. Mas o relatório do DHS apontou a China como provável intrometida na segurança do Zoom, porque o Zoom possui um número substancial de funcionários naquele país.

    “O acesso da China aos servidores Zoom coloca Pequim em posição única para atingir os usuários do setor público e privado dos EUA”, afirmou a ABC News, segundo o relatório do DHS.

    No entanto, na semana passada, o Zoom deu aos hosts de reuniões pagas a opção de evitar servidores Zoom em regiões específicas, incluindo China e América do Norte. Por padrão, os hosts com zoom não pago usam apenas servidores em suas regiões de origem.

    Um porta-voz da Zoom disse à ABC News que o relatório do DHS estava “fortemente desinformado” e incluía “imprecisões flagrantes”.

    Terça-feira, 28 de abril

    O zoom é mais seguro do que o FaceTime da Apple?

    Um novo relatório da Mozilla, fabricante sem fins lucrativos do navegador Firefox, diz que as políticas e práticas de privacidade e segurança do Zoom são melhores que as do Apple FaceTime.

    O Zoom pontua 5/5 em criptografia, força de senha, atualizações, relatórios de bugs e privacidade, segundo o relatório, combinando Skype, Signal, Bluejeans e o trio de Google Duo, Hangouts e Meet do Google.

    O FaceTime obteve apenas 4,5 / 5 porque o serviço de videochamada da Apple não exige que o usuário efetue login no aplicativo de forma independente.

    O truque de phishing com zoom ataca os medos do trabalho em casa

    Um novo esquema de phishing do Zoom certamente chamará a atenção de quem trabalha em casa durante o bloqueio do coronavírus.

    Parece vir do departamento de RH do seu empregador e convida você a participar de uma reunião do Zoom a partir de alguns minutos para discutir a possível rescisão do seu emprego.

    Se você clicar no link do e-mail para ingressar na reunião, será direcionado para uma página de login do Zoom muito realista. É falso. Se você inserir suas credenciais, os criminosos poderão assumir sua conta do Zoom.

    Segunda-feira, 27 de abril

    O Zoom 5.0 foi lançado

    O Zoom finalmente atualizou seu software de reunião-cliente para a versão 5.0, anunciada na semana passada. Aqui está o nosso guia sobre como atualizar para o Zoom 5.0.

    A atualização ainda não está disponível para iOS, pois a Apple precisa examinar o software antes que a nova versão do aplicativo possa ser enviada. Também não conseguimos ver na loja de aplicativos do Google Play na segunda-feira à tarde, horário do leste (27 de abril), mas é provável que isso apareça em breve.

    Sexta-feira, 24 de abril

    As ações da empresa Zoom subiram novamente sexta-feira depois que a bolsa de valores da NASDAQ anunciou que o Zoom se juntaria ao índice NASDAQ 100 na quinta-feira, 30 de abril.

    Nenhuma outra empresa pode ter se beneficiado mais com os pedidos de estadia em casa durante a crise do coronavírus. É difícil imaginar que o Zoom ingressaria no NASDAQ 100 se seu tráfego diário não tivesse aumentado de 10 milhões de usuários em dezembro de 2019 para 300 milhões em meados de abril.

    Quinta-feira, 23 de abril

    Apesar de todas as más notícias sobre o Zoom, o preço das ações da empresa subiu na quinta-feira, ganhando 9% após o anúncio de que o número de usuários diários havia subido para 300 milhões.

    Para colocar isso em perspectiva, o uso diário atingiu o pico de 200 milhões de pessoas por dia em março, informou a empresa em 1º de abril. Em dezembro de 2019, o uso do Zoom atingiu 10 milhões de usuários diários.

    Quarta-feira, 22 de abril

    Em um anúncio de imprensa / blog um tanto enganador, o Zoom anunciou a chegada da versão 5.0 do seu software de desktop para Windows, Mac e Linux.

    A nova versão incluirá muitas das correções de segurança que vimos recentemente para a interface da Web Zoom, incluindo a capacidade de expulsar bombardeiros Zoom de reuniões, garantir que os dados da reunião não passem pela China e deixar todos esperando por uma reunião em uma “sala de espera”. Ele também adiciona um ícone de segurança à tela do host e uma melhor criptografia para as reuniões do Zoom.

    Verificamos os registros de alterações do Zoom e descobrimos que a atualização não estará disponível até domingo, 26 de abril.

    Recolha de informações com o falso software Zoom Client

    Os pesquisadores do Cisco Talos disseram que a função de bate-papo da reunião do Zoom facilitou demais a localização de todos os usuários do zoom em uma organização específica.

    Se você tivesse uma conta válida do Zoom, explicou o Cisco Talos em um post do blog, poderia fingir que trabalhou em qualquer organização e obter os nomes completos e os IDs de bate-papo de cada usuário registrado do Zoom cujo endereço de email usasse o domínio de email da organização.

    Você não precisaria verificar se trabalhou lá e nem precisaria estar em uma reunião do Zoom para obter as informações.

    Essas informações “podem ser utilizadas para divulgar mais informações de contato, incluindo o endereço de e-mail do usuário, número de telefone e qualquer outra informação presente em seu vCard” ou cartão de visita digital, escreveu a Cisco Talos.

    “Essa vulnerabilidade pode ser explorada por um ataque de spear-phishing contra indivíduos conhecidos de uma organização, a fim de despejar os endereços de e-mail de todos os usuários do Zoom dentro da organização”, afirmou o Cisco Talos. “Os usuários que recentemente tiveram que instalar um novo software para configurar o trabalho remoto podem ser particularmente suscetíveis a emails de engenharia social que pretendem instruir os usuários a instalarem um novo ou atualizado cavalo de tróia ‘Zoom client’.”

    Felizmente, o Zoom corrigiu esse problema, que ficava inteiramente no lado do servidor.

    SITUAÇÃO: Fixo.

    Terça-feira, 21 de abril

    Em uma postagem no blog de 20 de abril, Zoom disse que a opção de excluir certos países do roteamento de chamadas estava ativa. Isso permitirá que os administradores de reunião do Zoom evitem que os dados de reunião sejam roteados pelos servidores Zoom na China, nos EUA ou em outras sete regiões e países.

    Novas atualizações da plataforma Zoom para a interface da Web lançadas em 19 de abril incluem mascarar algumas informações pessoais dos participantes, como endereços de email ou números de telefone, durante as reuniões. Outra mudança é que os usuários que compartilham o mesmo domínio de e-mail não poderão mais procurar um pelo outro por nome.

    Segunda-feira, 20 de abril

    O New York Times informou que os executivos do Dropbox estavam tão preocupados com falhas de segurança no Zoom que, em 2018, o Dropbox criou seu próprio programa secreto de recompensas por erros do Zoom.

    Em outras palavras, o Dropbox pagaria aos hackers as vulnerabilidades de segurança encontradas no Zoom. (Os funcionários do Dropbox usavam o Zoom regularmente e o Dropbox investia no Zoom.) O Times relatou que o Dropbox confirmava as falhas e as passava para o Zoom, para que o Zoom pudesse corrigi-las.

    Sexta-feira, 17 de abril

    As gravações de reuniões com zoom são fáceis de encontrar on-line, parte 2

    As gravações de vídeo com zoom da reunião salvas nos servidores em nuvem da Zoom podem ser facilmente descobertas e frequentemente visualizadas, disse um pesquisador de segurança à Cnet.

    Phil Guimond percebeu que as gravações on-line das reuniões do Zoom têm uma estrutura de URL previsível e, portanto, são fáceis de encontrar. (O Washington Post relatou na semana passada um problema semelhante com as gravações do Zoom enviadas por usuários a servidores em nuvem de terceiros. Nesses casos, os nomes dos arquivos das gravações das reuniões seguiram um padrão previsível.)

    Até que o Zoom divulgasse uma série de atualizações na última terça-feira, as gravações de reuniões do Zoom não precisavam ser protegidas por senha.

    Guimond criou uma ferramenta simples que pesquisa automaticamente as gravações de reuniões do Zoom e tenta abri-las.

    Se uma reunião tiver uma senha, sua ferramenta tentará acessar com força bruta, executando milhões de senhas possíveis. Se uma gravação de reunião estiver visível, o ID da reunião do Zoom também será possível e o invasor poderá acessar futuras reuniões recorrentes.

    Para derrotar a ferramenta automatizada de Guimond, o Zoom adicionou um desafio Captcha, que força o pretenso observador de gravação de reuniões a provar que é humano. Guimond disse que o padrão de URL ainda é o mesmo, e os invasores ainda podem tentar abrir manualmente cada resultado gerado.

    SITUAÇÃO: Mitigado com obstáculos adicionais contra ataques, mas não realmente consertados.

    Quinta-feira, 16 de abril

    Zoom anunciou que estava contratando a Luta Security, uma empresa de consultoria liderada por Katie Moussouris, para reformular o programa “bug bounty” de Zoom, que paga a hackers para encontrar falhas de software.

    Moussouris montou os primeiros programas de recompensa de bugs na Microsoft e no Pentágono. Em seu próprio blog, ela anunciou que o Zoom estava trazendo outras empresas e pesquisadores de segurança da informação para melhorar sua segurança.

    Em seu seminário on-line semanal, de acordo com o ZDNet, o Zoom também disse que permitiria que os hosts de reuniões denunciam usuários abusivos, e o consultor de segurança recém-contratado Alex Stamos disse que o Zoom mudaria para um padrão de criptografia mais robusto depois que a criptografia existente do Zoom fosse encontrada.

    Em outras notícias, um congressista reclamou que uma reunião do Congresso realizada sobre Zoom em 3 de abril foi “bombardeada com zoom” pelo menos três vezes.

    Quarta-feira, 15 de abril

    O chefe do Standard Chartered, um banco multinacional com sede em Londres, alertou os funcionários para usarem o Zoom ou o Google Hangouts para reuniões remotas, citando preocupações de segurança, segundo a Reuters.

    A Standard Chartered usa principalmente a plataforma de videoconferência rival da Blue Jeans, de acordo com dois funcionários do banco que falaram anonimamente.

    No ano passado, a Standard Chartered concordou em pagar US $ 1,1 bilhão aos reguladores britânicos e americanos depois de admitir que o banco violou as sanções comerciais ao Irã.

    Amplie as explorações de dia zero à venda por US $ 500.000

    Aparentemente, os hackers estão se oferecendo para vender duas explorações de “dia zero” no Zoom ao melhor lance, relata o Vice.

    Dias zero são hacks que tiram proveito das vulnerabilidades desconhecidas pelo fabricante do software e contra os quais os usuários têm pouca ou nenhuma defesa.

    Fontes que contaram à Vice os dias zero disseram que uma exploração é para o Windows e permite que um invasor remoto obtenha controle total do computador de um alvo. O problema é que o atacante e o alvo precisam estar na mesma chamada de zoom. Seu preço pedido é de US $ 500.000.

    “Acho que são apenas as crianças que esperam fazer um estrondo”, disse uma fonte sem nome à Vice.

    Diz-se que o outro dia zero é para o macOS e é menos sério.

    SITUAÇÃO: Aparentemente não corrigido.

    Terça-feira, 14 de abril

    O Zoom anunciou em 13 de abril que os usuários das contas pagas do Zoom poderiam escolher por qual região do mundo seus dados seriam roteados: Austrália, Canadá, China, Europa, Índia, Japão / Hong Kong, América Latina ou Estados Unidos.

    Essa é uma reação à descoberta, no início de abril, de que muitas reuniões do Zoom hospedadas e envolvendo residentes dos EUA foram roteadas por servidores da China, um país que mantém o direito de ver qualquer coisa acontecendo em um servidor localizado localmente sem um mandado.

    Os usuários do serviço gratuito do Zoom terão seus dados manipulados apenas por servidores em suas regiões.

    SITUAÇÃO: Esta opção está agora disponível para usuários pagos do Zoom que usam a interface da Web em vez do software de desktop. O software de desktop Zoom para Windows, Mac e Linux será lançado em 26 de abril.

    Problemas abertos / não resolvidos

    Mais de 500.000 contas Zoom disponíveis

    Nomes de usuário e senhas para mais de 500.000 contas Zoom estão sendo vendidos ou distribuídos em mercados criminais.

    Essas contas não foram comprometidas como resultado de uma violação de dados do Zoom, mas pelo preenchimento de credenciais. É quando os criminosos tentam desbloquear contas reutilizando credenciais de contas comprometidas em violações de dados anteriores. Funciona apenas se um titular de conta usar a mesma senha para mais de uma conta.

    SITUAÇÃO: Desconhecido, mas isso não é culpa do Zoom.

    2.300 conjuntos de credenciais de login do Zoom encontradas online

    Pesquisadores do IngSights descobriram um conjunto de 2.300 credenciais de login do Zoom sendo compartilhadas em um fórum online criminoso.

    “Além das contas pessoais, havia muitas contas corporativas pertencentes a bancos, empresas de consultoria, instalações educacionais, profissionais de saúde e fornecedores de software, entre outros”, escreveu Etay Maor, da IntSight, em um post no dia 10 de abril.

    “Enquanto algumas das contas ‘apenas’ incluíam um email e uma senha, outras incluíam IDs de reunião, nomes e chaves de host”, escreveu Maor.

    Maor disse ao Threatpost que não parecia que as credenciais vieram de uma violação de dados do Zoom, devido ao seu número relativamente pequeno. Ele teorizou que eles vinham de “pequenas listas e bancos de dados mantidos por outras empresas / agências”.

    Também é possível que algumas das credenciais tenham sido o resultado de “preenchimento de credenciais”. Esse é o processo (em grande parte) automatizado pelo qual os criminosos tentam acessar os sites percorrendo os prováveis ​​endereços de e-mail e senhas prováveis ​​e, em seguida, colhem o que produz um resultado positivo.

    SITUAÇÃO: Desconhecido. Provavelmente, esse não é um problema de zoom propriamente dito.

    Zoom em explorações de ‘dia zero’

    Os pesquisadores de segurança da informação conhecem várias explorações do “dia zero” do Zoom, de acordo com o Vice. Dias zero são explorações para vulnerabilidades de software que o fabricante do software não conhece e não corrigiu e, portanto, tem “zero dias” para preparar antes que as explorações apareçam.

    No entanto, uma fonte do Vice implicava que outras soluções de videoconferência também apresentavam falhas de segurança. Outra fonte disse que os dias zero da Zoom não estavam sendo vendidos por muito dinheiro devido à falta de demanda.

    SITUAÇÃO: Não resolvido até que algumas dessas falhas venham à tona.

    Zoom de contas comprometidas negociadas on-line

    Os criminosos estão negociando contas Zoom comprometidas na “dark web”, informou o Yahoo News.

    Aparentemente, essas informações vieram da empresa israelense de segurança cibernética Sixgill, especializada no monitoramento de atividades criminosas online clandestinas. Não foi possível encontrar nenhuma menção aos resultados no site da Sixgill.

    Sixgill disse ao Yahoo que havia encontrado 352 contas comprometidas do Zoom, que incluíam IDs de reunião, endereços de email, senhas e chaves de host. Algumas das contas pertenciam a escolas e uma a uma pequena empresa e um grande prestador de serviços de saúde, mas a maioria era pessoal.

    SITUAÇÃO: Não é realmente um bug, mas definitivamente vale a pena se preocupar. Se você possui uma conta Zoom, verifique se a senha não é a mesma de qualquer outra conta que você tenha.

    Instalador do Zoom fornecido com malware

    Pesquisadores da Trend Micro descobriram uma versão do instalador do Zoom que acompanha o malware de mineração de criptomoeda, ou seja, um minerador de moedas.

    O instalador do Zoom colocará o Zoom versão 4.4.0.0 no seu PC com Windows, mas ele vem com um minerador de moedas que a Trend Micro nomeou Trojan.Win32.MOOZ.THCCABO. (A propósito, o software cliente Zoom mais recente para Windows tem a versão 4.6.9, e você deve obtê-lo somente aqui.)

    The coin-miner will ramp up your PC’s central processor unit, and its graphics card if there is one, to solve mathematical problems in order to generate new units of cryptocurrency. You’ll notice this if you fans suddenly speed up or if Windows Task Manager (hit Ctrl + Shift + Esc) shows unexpectedly heavy CPU/GPU use.

    To avoid getting hit with this malware, make sure you’re running one of the best antivirus programs, and don’t click on any links in emails, social media posts or pop-up messages that promise to install Zoom on your machine.

    STATUS: Open, but this isn’t Zoom’s problem to fix. It can’t stop other people from copying and redistributing its installation software.

    Zoom encryption not what it claims to be

    Not only does Zoom mislead users about its “end-to-end encryption” (see further down), but its seems to be flat-out, um, not telling the truth about the quality of its encryption algorithm.

    Zoom says it use AES-256 encryption to encode video and audio data traveling between Zoom servers and Zoom clients (i.e., you and me). But researchers at the Citizen Lab at the University of Toronto, in a report posted April 3, found that Zoom actually uses the somewhat weaker AES-128 algorithm.

    Even worse, Zoom uses an in-house implementation of encryption algorithm that preserves patterns from the original file. It’s as if someone drew a red circle on a gray wall, and then a censor painted over the red circle with a while circle. You’re not seeing the original message, but the shape is still there.

    “We discourage the use of Zoom at this time for use cases that require strong privacy and confidentiality,” the Citizen Lab report says, such as “governments worried about espionage, businesses concerned about cybercrime and industrial espionage, healthcare providers handling sensitive patient information” and “activists, lawyers, and journalists working on sensitive topics.”

    STATUS: Unresolved. In a blog post April 3, Zoom CEO Eric S. Yuan acknowledged the encryption issue but said only that “we recognize that we can do better with our encryption design” and “we expect to have more to share on this front in the coming days.”

    In Zoom’s announcement of the upcoming April 26 desktop-software update, Zoom said it would be upgrading the encryption implementation to a better format for all users by May 30.

    Zoom software can be easily corrupted

    Good software has built-in anti-tampering mechanisms to make sure that applications don’t run code that’s been altered by a third party.

    Zoom has such anti-tampering mechanisms in place, which is good. But those anti-tampering mechanisms themselves are not protected from tampering, said a British computer student who calls himself “Lloyd” in a blog post April 3.

    Needless to say, that’s bad. Lloyd showed how Zoom’s anti-tampering mechanism can easily be disabled, or even replaced with a malicious version that hijacks the application.

    If you’re reading this with a working knowledge of how Windows software works, this is a pretty damning passage: “This DLL can be trivially unloaded, rendering the anti-tampering mechanism null and void. The DLL is not pinned, meaning an attacker from a 3rd party process could simply inject a remote thread.”

    In other words, malware already present on a computer could use Zoom’s own anti-tampering mechanism to tamper with Zoom. Criminals could also create fully working versions of Zoom that have been altered to perform malicious acts.

    STATUS: Unresolved.

    Zoom bombing

    Anyone can “bomb” a public Zoom meeting if they know the meeting number, and then use the file-share photo to post shocking images, or make annoying sounds in the audio. The FBI even warned about it a few days ago.

    The host of the Zoom meeting can mute or even kick out troublemakers, but they can come right back with new user IDs. The best way to avoid Zoom bombing is to not share Zoom meeting numbers with anyone but the intended participants. You can also require participants to use a password to log into the meeting.

    On April 3, the U.S. Attorney’s Office for the Eastern District of Michigan said that “anyone who hacks into a teleconference can be charged with state or federal crimes.” It’s not clear whether that applies only to eastern Michigan.

    STATUS: There are easy ways to avoid Zoom bombing, which we go through here.

    Leaks of email addresses and profile photos

    Zoom automatically puts everyone sharing the same email domain into a “company” folder where they can see each other’s information.

    Exceptions are made for people using large webmail clients such as Gmail, Yahoo, Hotmail or Outlook.com, but not apparently for smaller webmail providers that Zoom might not know about.

    Several Dutch Zoom users who use ISP-provided email addresses suddenly found that they were in the same “company” with dozens of strangers — and could see their email addresses, user names and user photos.

    STATUS: Unresolved, but an April 19 Zoom software update for Zoom web-interface users makes sure users on the same email domain can no longer automatically search for each other by name. The Zoom desktop client software will get similar fixes April 26.

    Sharing of personal data with advertisers

    Several privacy experts, some working for Consumer Reports, pored over Zoom’s privacy policy and found that it apparently gave Zoom the right to use Zoom users’ personal data and to share it with third-party marketers.

    Following a Consumer Reports blog post, Zoom quickly rewrote its privacy policy, stripping out the most disturbing passages and asserting that “we do not sell your personal data.”

    STATUS: Unknown. We don’t know the details of Zoom’s business dealings with third-party advertisers.

    You can ‘war drive’ to find open Zoom meetings

    You can find open Zoom meetings by rapidly cycling through possible Zoom meeting IDs, a security researcher told independent security blogger Brian Krebs.

    The researcher got past Zoom’s meeting-scan blocker by running queries through Tor, which randomized his IP address. It’s a variation on “war driving” by randomly dialing telephone numbers to find open modems in the dial-up days.

    The researcher told Krebs that he could find about 100 open Zoom meetings every hour with the tool, and that “having a password enabled on the [Zoom] meeting is the only thing that defeats it.”

    STATUS: Unknown.

    Zoom meeting chats don’t stay private

    Two Twitter users pointed out that if you’re in a Zoom meeting and use a private window in the meeting’s chat app to communicate privately with another person in the meeting, that conversation will be visible in the end-of-meeting transcript the host receives.

    STATUS: Unknown.

    Resolved/fixed issues

    Zoom flaw allowed account hijacking

    A Kurdish security researcher said Zoom paid him a bug bounty — a reward for finding a serious flaw — for finding how to hijack a Zoom account if the account holder’s email address was known or guessed.

    The researcher, who calls himself “s3c” but whose real name may be Yusuf Abdulla, said if he tried to log into Zoom with a Facebook account, Zoom would ask for the email address associated with that Facebook account. Then Zoom would open a new webpage notifying him that a confirmation email message had been sent to that email address.

    The URL of the notification webpage would have a unique identification tag in the address bar. As an example that’s much shorter than the real thing, let’s say it’s “zoom.com/signup/123456XYZ”.

    When s3c received and opened the confirmation email message sent by Zoom, he clicked on the confirmation button in the body of the message. This took him to yet another webpage that confirmed his email address was now associated with a new account. So far, so good.

    But then s3c noticed that the unique identification tag in the Zoom confirmation webpage’s URL was identical to the first ID tag. Let’s use the example “zoom.com/confirmation/123456XYZ”.

    The matching ID tags, one used before confirmation and the other after confirmation, meant that s3c could have avoided receiving the confirmation email, and clicking on the confirmation button, altogether.

    In fact, he could have entered ANY email address — yours, mine or [email protected] — into the original signup form. Then he could have copied the ID tag from the resulting Zoom notification page and pasted the ID tag into an already existing Zoom account-confirmation page.

    Boom, he’d have access to any Zoom account created using the targeted email address.

    “Even if you already linked your account with a Facebook account Zoom automatically unlink it and link it with the attacker Facebook account,” s3c wrote in his imperfect English.

    And because Zoom lets anyone using a company email address view all other users signed up with the same email domain, e.g. “company.com”, s3c could have leveraged this method to steal ALL of a given company’s Zoom accounts.

    “So if an attacker create an account with email address [email protected] and verify it with this bug,” s3c wrote, “the attacker can view all emails that created with *@companyname.com in Zoom app in Company contacts so that means the attacker can hack all accounts of the company.”

    Zoom is fortunate that s3c is one of the good guys and didn’t disclose this flaw publicly before Zoom could fix it. But it’s such a simple flaw that it’s hard to imagine no one else noticed it before.

    STATUS: Fixed, thank God.

    Zoom removes meeting IDs from screens

    Zoom has released updates for its Windows, macOS and Linux desktop client software so that meeting IDs will not display onscreen during meetings. British Prime Minister Boris Johnson accidentally displayed a Zoom meeting ID in a tweet, and the Belgian cabinet made a similar mistake.

    ‘Potential security vulnerability’ with Zoom file sharing

    In an “ask me anything” webinar in early April, Zoom CEO Eric S. Yuan said that Zoom had discovered “a potential security vulnerability with file sharing, so we disabled that feature.”

    Until this week, participants in a Zoom meeting could share files with each other using the meeting’s chat function.

    STATUS: Fixed.

    Zoom cryptographic keys issued by Chinese servers

    Those AES128 encryption keys are issued to Zoom clients by Zoom servers, which is all well and good, except that the Citizen Lab found several Zoom servers in China issuing keys to Zoom users even when all participants in a meeting were in North America.

    Since Zoom servers can decrypt Zoom meetings, and Chinese authorities can compel operators of Chinese servers to hand over data, the implication is that the Chinese government might be able to see your Zoom meetings.

    That’s got to be bad news for the British government, which has held at least one Cabinet meeting over Zoom.

    STATUS: Apparently fixed. In a blog post April 3, Zoom CEO Eric S. Yuan responded to the Citizen Lab report by saying that “it is possible certain meetings were allowed to connect to systems in China, where they should not have been able to connect. We have since corrected this.”

    Security flaw with Zoom meeting waiting rooms

    Zoom advises meeting hosts to set up “waiting rooms” to avoid “Zoom bombing.” A waiting room essentially keeps participants on hold until a host lets them in, either all at once or one at a time.

    The Citizen Lab said it found a serious security issue with Zoom waiting rooms, and advised hosts and participants to not use them for now. The Citizen Lab is not disclosing the details yet, but has told Zoom of the flaw.

    “We advise Zoom users who desire confidentiality to not use Zoom Waiting Rooms,” the Citizen Lab said in its report. “Instead, we encourage users to use Zoom’s password feature.”

    STATUS: Fixed. In a follow-up to their initial report. the Citizen Lab researchers disclosed that uninvited attendees to a meeting could nonetheless get the meeting’s encryption key from the waiting room.

    “On April 7, Zoom reported to us that they had implemented a server-side fix for the issue,” the researchers said.

    Windows password stealing

    Zoom meetings have side chats in which participants can sent text-based messages and post web links.

    But according to Twitter user @_g0dmode and Anglo-American cybersecurity training firm Hacker House, Zoom until the end of March made no distinction between regular web addresses and a different kind of remote networking link called a Universal Naming Convention (UNC) path. That left Zoom chats vulnerable to attack.

    If a malicious Zoom bomber slipped a UNC path to a remote server that he controlled into a Zoom meeting chat, an unwitting participant could click on it.

    The participant’s Windows computer would then try to reach out to the hacker’s remote server specified in the path and automatically try to log into it using the user’s Windows username and password.

    The hacker could capture the password “hash” and decrypt it, giving him access to the Zoom user’s Windows account.

    STATUS: Yuan’s blog post says Zoom has now fixed this problem.

    Windows malware injection

    Mohamed A. Baset of security firm Seekurity said on Twitter that the same filepath flaw also would let a hacker insert a UNC path to a remote executable file into a Zoom meeting chatroom.

    If a Zoom user running Windows clicked on it, a video posted by Baset showed, the user’s computer would try to load and run the software. The victim would be prompted to authorize the software to run, which will stop some hacking attempts but not all.

    STATUS: If the UNC filepath issue is fixed, then this should be as well.

    iOS profile sharing

    Until late March, Zoom sent iOS user profiles to Facebook as part of the “log in with Facebook” feature in the iPhone and iPad Zoom apps. After Vice News exposed the practice, Zoom said it hadn’t been aware of the profile-sharing and updated the iOS apps to fix this.

    STATUS: Fixed.

    Malware-like behavior on Macs

    We learned last summer that Zoom used hacker-like methods to bypass normal macOS security precautions. We thought that problem had been fixed then, along with the security flaw it created.

    But a series of tweets March 30 from security researcher Felix Seele, who noticed that Zoom installed itself on his Mac without the usual user authorizations, revealed that there was still an issue.

    “They (ab)use preinstallation scripts, manually unpack the app using a bundled 7zip and install it to /Applications if the current user is in the admin group (no root needed),” Seele wrote.

    “The application is installed without the user giving his final consent and a highly misleading prompt is used to gain root privileges. The same tricks that are being used by macOS malware.” (Seele elaborated in a more user-friendly blog post here.)

    Zoom founder and CEO Eric S. Yuan tweeted a friendly response.

    “To join a meeting from a Mac is not easy, that is why this method is used by Zoom and others,” Yuan wrote. “Your point is well taken and we will continue to improve.”

    UPDATE: In a new tweet April 2, Seele said Zoom had released a new version of the Zoom client for macOS that “completely removes the questionable ‘preinstall’-technique and the faked password prompt.”

    “I must say that I am impressed. That was a swift and comprehensive reaction. Good work, @zoom_us!” Seele added.

    STATUS: Fixed.

    A backdoor for Mac malware

    Other people could use Zoom’s dodgy Mac installation methods, renowned Mac hacker Patrick Wardle said in a blog post March 30.

    Wardle demonstrated how a local attacker — such as a malicious human or already-installed malware — could use Zoom’s formerly magical powers of unauthorized installation to “escalate privileges” and gain total control over the machine without knowing the administrator password.

    Wardle also showed that a malicious script installed into the Zoom Mac client could give any piece of malware Zoom’s webcam and microphone privileges, which do not prompt the user for authorization and could turn any Mac with Zoom installed into a potential spying device.

    “This affords malware the ability to record all Zoom meetings, or simply spawn Zoom in the background to access the mic and webcam at arbitrary times,” Wardle wrote.

    STATUS: Yuan’s blog post says Zoom has fixed these flaws.

    Other issues

    Zoom pledges to fix flaws

    In a blog post April 1, Zoom CEO and founder Eric S. Yuan acknowledged Zoom’s growing pains and pledged that regular development of the Zoom platform would be put on hold while the company worked to fix security and privacy issues.

    “We recognize that we have fallen short of the community’s — and our own — privacy and security expectations,” Yuan wrote, explaining that Zoom had been developed for large businesses with in-house IT staffers who could set up and run the software.

    “We now have a much broader set of users who are utilizing our product in a myriad of unexpected ways, presenting us with challenges we did not anticipate when the platform was conceived,” he said. “These new, mostly consumer use cases have helped us uncover unforeseen issues with our platform. Dedicated journalists and security researchers have also helped to identify pre-existing ones.”

    To deal with these issues, Yuan wrote, Zoom would be “enacting a feature freeze, effectively immediately, and shifting all our engineering resources to focus on our biggest trust, safety, and privacy issues.”

    Among other things, Zoom would also be “conducting a comprehensive review with third-party experts and representative users to understand and ensure the security of all of our new consumer use cases.”

    Zoom now requires passwords by default for most Zoom meetings, although meetings hosts can turn that feature off. Passwords are the easiest way to stop Zoom bombing.

    And on April 8, former Facebook and Yahoo chief security officer Alex Stamos said he would be working with Zoom to improve its security and privacy. Stamos is now an adjunct professor at Stanford and is highly regarded within the information-security community.

    Phony end-to-end encryption

    Zoom claims its meetings use “end-to-end encryption” if every participant calls in from a computer or a Zoom mobile app instead of over the phone. But under pressure from The Intercept, a Zoom representative admitted that Zoom’s definitions of “end-to-end” and “endpoint” are not the same as everyone else’s.

    “When we use the phrase ‘End to End’,” a Zoom spokeperson told The Intercept, “it is in reference to the connection being encrypted from Zoom end point to Zoom end point.”

    Sound good, but the spokesperson clarified that he counted a Zoom server as an endpoint.

    Every other company considers an endpoint to be a user device — a desktop, laptop, smartphone or tablet — but not a server. And every other company takes “end-to-end encryption” to mean that servers that relay messages from one endpoint to another can’t decrypt the messages.

    When you send an Apple Message from your iPhone to another iPhone user, Apple’s servers help the message get from one place to another, but they can’t read the content.

    Not so with Zoom. It can see whatever is going on in its meetings, and sometimes it  may have to in order to make sure everything works properly. Just don’t believe the implication that it can’t.

    UPDATE: In a blog post April 1, Zoom Chief Product Officer Oded Gal wrote that “we want to start by apologizing for the confusion we have caused by incorrectly suggesting that Zoom meetings were capable of using end-to-end encryption. “

    “We recognize that there is a discrepancy between the commonly accepted definition of end-to-end encryption and how we were using it,” he wrote.

    Gal assured users that all data sent and received by Zoom client applications (but not regular phone lines, business conferencing systems or, presumably, browser interfaces) is indeed encrypted and that Zoom servers or staffers “do not decrypt it at any point before it reaches the receiving clients.”

    However, Gal added, “Zoom currently maintains the key management system for these systems in the cloud” but has “implemented robust and validated internal controls to prevent unauthorized access to any content that users share during meetings.”

    The implication is that Zoom doesn’t decrypt user transmissions by choice. But because it holds the encryption keys, Zoom could if it had to, such as if it were presented with a warrant or a U.S. National Security Letter (essentially a secret warrant).

    For those worried about government snooping, Gal wrote that “Zoom has never built a mechanism to decrypt live meetings for lawful intercept purposes, nor do we have means to insert our employees or others into meetings without being reflected in the participant list.”

    He added that companies and other enterprises would soon be able to handle their own encryption process.

    “A solution will be available later this year to allow organizations to leverage Zoom’s cloud infrastructure but host the key management system within their environment.”

    STATUS: This is an issue of misleading advertising rather than an actual software flaw. We hope Zoom stops using the term “end-to-end encryption” incorrectly, but just keep in mind that you won’t be getting the real thing with Zoom until it fully implements the technology it’s buying with Keybase.

    Zoom meeting recordings can be found online

    Privacy researcher Patrick Jackson noticed that Zoom meeting recordings saved to the host’s computer generally get a certain type of file name.

    So he searched unprotected cloud servers to see if anyone had uploaded Zoom recordings and found more than 15,000 unprotected examples, according to The Washington Post. Jackson also found some recorded Zoom meetings on YouTube and Vimeo.

    This isn’t really Zoom’s fault. It’s up to the host to decide whether to record a meeting, and Zoom gives paying customers the option to store recordings on Zoom’s own servers. It’s also up to the host to decide to change the recording’s file name.

    If you host a Zoom meeting and decide to record it, then make sure you change the default file name after you’re done.

    STATUS: This is not really Zoom’s problem, to be honest.




    Artigos Recentes

    Mensagens de telegrama são um foco na campanha de hack recém-descoberta do Irã

    Prolongar / Rampant Kitty está mirando no Telegram como um felino para amarrar.Check Point ...

    Google Home x Amazon Echo

    Se você está pensando em comprar um alto-falante inteligente, pode ficar pensando em qual deles comprar. Nós ouvimos você. Com todas...

    Últimas tendências contábeis: transformando o setor de varejo

    À medida que a ruptura digital está se espalhando pelos setores em todo o mundo, as expectativas dos consumidores estão crescendo em cada...

    A Unity Software teve uma abertura forte, ganhando 31% após preços acima de sua faixa elevada

    Quem disse que você não pode ganhar dinheiro jogando videogame claramente não deu uma olhada no preço das ações da Unity Software. Em seu...

    Da função de suporte ao mecanismo de crescimento: O futuro da IA ​​e do atendimento ao cliente

    Quando se trata de imaginar o futuro, o atendimento ao cliente costuma ser pintado sob uma luz distópica. Veja o filme de...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui