Ampliação, o serviço de videoconferência que explodiu no vácuo criado pelo surto COVID-19, sofreu a revelação de uma série de falhas de privacidade e segurança nos últimos dias. Agora, os pesquisadores identificaram essa falha em um recurso comercializado especificamente como uma forma de tornar as reuniões mais seguras.

A Zoom disse na quarta-feira que corrigiu uma vulnerabilidade com o recurso Sala de espera.

O recurso permite que os hosts da reunião mantenham os possíveis participantes em uma fila digital com aprovação pendente. Os profissionais médicos podem usá-lo para hospedar várias consultas de telessaúde em sequência, e os gerentes de contratação podem conduzir entrevistas de vídeo empilhadas, a empresa sugeriu em uma postagem do blog em fevereiro.

Como os usuários encontraram problemas com "zoombombing" - onde os participantes interrompem e inviabilizam as reuniões, frequentemente usando imagens ofensivas ou calúnias racistas - a empresa apontou o recurso de sala de espera como uma forma de se proteger desse tipo de intrusão.

Mas os pesquisadores de segurança que examinaram o cliente de desktop em busca de vulnerabilidades descobriram que os servidores Zoom enviariam automaticamente dados de vídeo ao vivo para os usuários na sala de espera da reunião, mesmo que ainda não tenham sido aprovados para ingressar pela pessoa que está realizando a reunião. Esses usuários também receberam a chave de descriptografia da reunião - o código necessário para desbloquear comunicações seguras. Os usuários poderiam, hipoteticamente, extrair a transmissão ao vivo do vídeo, pesquisadores disseram.

"Se você fosse moderadamente sofisticado tecnicamente, você poderia assistir o que estava acontecendo enquanto estava na sala de espera, "disse Bill Marczak, um bolsista do Citizen Lab e um pesquisador de pós-doutorado na UC Berkeley que descobriu a vulnerabilidade. Um stream de áudio da chamada, Contudo, não estava acessível.

Marczak disse que ele e John Scott-Railton do Citizen Lab notificaram o Zoom na semana passada. Eles detalharam suas descobertas em um relatório publicado na quarta-feira, depois de receberem um e-mail da empresa dizendo que o problema foi corrigido.

Na quarta-feira, O presidente-executivo da Zoom, Eric Yuan, mencionou durante um webinar realizado para tratar de questões de privacidade que a Zoom corrigiu um problema com o recurso de sala de espera.

“Atualizamos nosso servidor. Nossa vulnerabilidade na sala de espera já foi corrigida, "Yuan disse no webinar." Do lado do servidor, não enviamos dados de áudio e vídeo ao cliente da sala de espera. Contudo, enviamos a chave de sessão .... Não pensamos que fosse seguro, então mudamos nosso servidor. "

O comentário de Yuan não se alinha com o que Marczak e Scott-Railton descobriram, eles escreveram. O stream de vídeo estava acessível anteriormente, embora o problema já tenha sido corrigido, Disse Marczak.

Zoom não respondeu imediatamente a um pedido de comentário sobre esta discrepância.

© 2020 Los Angeles Times
Distribuído pela Tribune Content Agency, LLC.