Vulnerabilidade no Zoom: Sites Podem Iniciar Gravações de Vídeo Sem Permissão
O software de videoconferência Zoom apresenta vulnerabilidades que vão além de um simples servidor web oculto em sistemas macOS. Mesmo em computadores com Windows, websites podem, potencialmente, iniciar gravações de vídeo utilizando sua webcam sem o seu consentimento explícito. Essa ação pode ser desencadeada apenas ao clicar em um link específico, e o problema não se restringe apenas a utilizadores de Mac, afetando também o ambiente Windows.
Ao contrário do que parecia inicialmente, as falhas de segurança no Zoom não são exclusivas do macOS. Usuários do Windows também estão em risco. Se o Zoom estiver configurado para ativar a câmera automaticamente ao iniciar uma reunião, um agente malicioso pode incorporar um link direcionado em um website, acionando a gravação de vídeo imediatamente, tanto em sistemas Windows quanto macOS.
A Zoom afirma que “não há indícios de que tal tenha ocorrido,” até o momento. A empresa classifica essa ação como uma funcionalidade e argumenta que o usuário concede permissão para isso ao configurar o cliente Zoom para iniciar a webcam automaticamente ao ingressar em uma reunião.
O pesquisador Jonathan Leitschuh demonstrou esta vulnerabilidade através de um site de prova de conceito. Ao acessar o site com o software Zoom instalado, o programa inicia automaticamente, ingressando em uma reunião e ativando a gravação via webcam. No macOS, mesmo desinstalando o Zoom, esse comportamento persiste devido a um servidor web oculto que o Zoom mantém ativo. Em máquinas Windows, o programa também é iniciado se estiver previamente instalado.
Inicialmente, a divulgação de Leitschuh sugeria que o problema era restrito ao macOS. No entanto, ele esclareceu, através de um tweet, que:
? USUÁRIOS DE WINDOWS E MAC?
Se você marcou aquela caixa em qualquer navegador que não seja o Safari, você também está vulnerável. pic.twitter.com/FbG2efEe0R
– Jonathan Leitschuh (@JLLeitschuh) 9 de julho de 2019
Para verificar a alegação, testamos a vulnerabilidade instalando o software Zoom e visitando o site de prova de conceito utilizando o navegador Google Chrome.
Na primeira visita ao site, o sistema solicita a abertura do aplicativo Zoom, caso este não esteja instalado. Ao marcar a opção “Sempre abrir esses tipos de links no aplicativo associado”, o usuário se expõe ao risco. Esta é uma ação comum para evitar cliques adicionais no futuro.
Em visitas subsequentes, o Zoom se abre automaticamente, conectando-se à reunião e ativando a webcam, sem nenhuma ação ou consentimento explícito por parte do usuário. Isso significa que sites maliciosos podem gravar o usuário, desde que o Zoom esteja instalado, sem qualquer interação da parte dele.
A janela do Zoom é exibida, indicando que a gravação está em curso. No entanto, um site malicioso pode capturar vídeos antes que o usuário encerre a videoconferência.
Este é um problema de segurança sério. Recomendamos desinstalar o Zoom caso não o utilize frequentemente. Se a instalação for necessária, altere a opção “Desligar meu vídeo ao entrar na reunião” nas configurações de vídeo do Zoom. Isso impede a ativação automática da câmera ao iniciar uma reunião.
Para usuários de macOS, é importante verificar e desativar o servidor web oculto deixado pelo Zoom.
Infelizmente, a resposta oficial da Zoom sugere que a empresa encara este comportamento como uma funcionalidade, não como um problema de segurança. Esperamos que compreendam a gravidade da situação e tomem medidas para solucionar este problema.