Mercado fechará em 1 min

Zoom: como um app cheio de falhas virou 'rei' das videochamadas na quarentena

Foto: Rizqullah Hamiid/NurPhoto via Getty Images

Se você abrir hoje a loja de aplicativos do seu smartphone verá que, no ranking dos apps mais populares do momento para Android e iOS, um nome relativamente novo aparece acima de figurões como WhatsApp e Facebook: é o app de chamadas de vídeo Zoom.

Baixe o app do Yahoo Mail em menos de 1 min e receba todos os seus emails em 1 só lugar

Siga o Yahoo Finanças no Google News

Lançada em 2013, a plataforma virou um fenômeno em tempos de pandemia de coronavírus. A quarentena imposta a metade da população mundial fez o número de usuários do Zoom crescer de 10 milhões (em dezembro de 2019) para 200 milhões por dia em março.

Leia também

O que explica o sucesso? Certamente não é o seu sistema de segurança. O aplicativo foi banido em diversas empresas após a divulgação de uma série de falhas graves que facilitam roubo de dados e invasões. A empresa também está sendo investigada nos EUA por práticas que ferem a privacidade de usuários.

O que o Zoom certamente tem a seu favor é a tecnologia. Fundado por Eric Yuan, ex-executivo da empresa de tecnologia Cisco, foi responsável, na época, pelo antigo Webex, outro app de chamadas de vídeo destinado a empresas.

Após sair da Cisco, Yuan usou sua experiência com aplicativos de chamadas de vídeo para construir um app focado em praticidade. Ao contrário de rivais mais famosos como Skype e Hangouts, o Zoom não precisa de cadastro ou download: um simples link leva o usuário diretamente para uma sala de chat com seus contatos.

Além disso, a empresa por trás do app investe em tecnologia de redução de latência para garantir que as conversas tenham o mínimo de atraso possível - menos de 150 milissegundos -, mantendo a qualidade de imagem e som mais alta.

Para fazer isso, o Zoom também se diferencia dos concorrentes. Em vez de otimizar a conexão para todos os dispositivos igualmente, de modo que a média seja derrubada pelo dispositivo mais lento na conferência, o aplicativo cuida de cada usuário individualmente.

"Nós olhamos para o sistema operacional, olhamos para o dispositivo, e ajustamos a comunicação especificamente para essa rede ou para esse dispositivo", explicou Harry Moseley, executivo de informação do Zoom, ao site Protocol em uma entrevista recente.

É justamente nesse cuidado com a conexão que está a maior fraqueza do Zoom. Para manter a conexão rápida e o acesso livre a qualquer usuário, o aplicativo abre mão de recursos de segurança e privacidade, coletando um volume, para muitos, excessivo de dados dos usuários.

Foto: Yuriko Nakao/Getty Images

Falhas internas

Os problemas do Zoom com segurança e privacidade, porém, não são novos. Em julho de 2019, um pesquisador descobriu que o app criava um um servidor web "oculto" na máquina do usuário para tornar o acesso às chamadas mais rápido.

Este servidor permitia que qualquer site tivesse acesso à webcam do usuário sem que ele fosse informado e não podia ser desinstalado, mesmo que o Zoom fosse removido do computador. A falha, descoberta no sistema macOS, só foi resolvida quando a Apple passou a forçar a exclusão do servidor fantasma após a desinstalação do app.

Os problemas do Zoom com o macOS não terminaram aí. Mais recentemente, descobriu-se que o app usa um método semelhante ao de um vírus para se instalar nos computadores da Apple, driblando os recursos de segurança do sistema para ter acesso a privilégios de administrador, muitas vezes sem que o usuário seja avisado.

Pesquisadores encontraram falhas semelhantes na versão para Windows que permitiriam a execução de comandos ocultos no computador do usuário, incluindo a possibilidade de desviar os dados coletados pelo Zoom para um hacker, por exemplo.

Como se não bastasse, o Zoom foi pego enganando usuários a respeito de sua tecnologia de criptografia. No site do aplicativo, a empresa diz que as chamadas de vídeos são protegidas por criptografia de ponta a ponta, mas um executivo admitiu que este não era o caso.

Na verdade, o Zoom usa um protocolo mais fraco de criptografia que, além de preservar padrões da mensagem, facilitando a interceptação dos vídeos, só protege o transporte dos dados de um dispositivo a outro. Nas pontas, o próprio app ainda consegue visualizar as transmissões dos usuários.

"Embora jamais tenha sido a intenção de enganar nenhum dos nossos clientes, reconhecemos que existe uma discrepância entre a definição comumente aceite de criptografia de ponta a ponta e a forma como a estávamos usando", disse a empresa em um post no seu blog oficial.

Foto: OLIVIER DOULIERY/AFP via Getty Images

Facebook e venda de dados

Outra polêmica envolvendo o Zoom diz respeito à forma como o aplicativo lida com dados pessoais do usuários. Mais precisamente para quem e quais empresas esses dados são transferidos, muitas vezes sem o consentimento do usuário.

Até o fim de março, por exemplo, o Zoom utilizava um kit de desenvolvimento do Facebook para facilitar o login de usuários com conta na rede social. O SDK também coletava dados do usuário e os enviada à empresa de Mark Zuckerberg mesmo que você não tivesse conta na rede.

Além disso, os termos de uso do aplicativo - aqueles que ninguém lê, só clicam em "aceito" - descrevem de forma confusa a maneira como a empresa ganha dinheiro em cima dos dados do usuário.

A empresa afirma que "utiliza certas ferramentas de publicidade" para "dados pessoais para os provedores de ferramentas, como o Google". Em outras palavras, o app coleta cookies e dados da sua navegação e os compartilha com empresas, como o Google, que ganham dinheiro direcionando anúncios com base nesses mesmos dados.

Nos termos de uso, o Zoom disse que a prática não configura "venda" de dados, mas poucas linhas a seguir diz que, sob a legislação de alguns países ou estados, isto pode, sim, ser considerado venda, embora "programas de publicidade sempre funcionaram dessa forma".

"Zoombombing"

Falhas mecânicas como estas, que podem ser exploradas sem interação do usuário, são mais graves, porém chamaram menos atenção do que o "zoombombing" - a prática, por parte de trolls da internet, de invadir chamadas abertas e espalhar todo tipo de conteúdo, de nazismo a pornografia.

O "zoombombing" não se utiliza de nenhuma ferramenta complexa nem se aproveita de falhas no código do aplicativo para acontecer. A invasão é o efeito colateral de um recurso do aplicativo: a facilidade com que se pode criar conferências e acessá-las com apenas um clique, sem burocracia.

Por padrão, o aplicativo não exige senha, sala de espera, nem aprovação para a entrada em chamadas de vídeo públicas. O usuário precisa, por iniciativa própria, ativar os recursos de segurança que outros apps, como Hangouts e Skype, já deixam ligados por padrão.

Segundo Denis Riviello, especialista de segurança da informação da empresa de tecnologia Compugraf, a política de deixar sistemas de segurança desligados por padrão e obrigar o usuário a mexer nas configurações do app se quiser se proteger não é exatamente uma falha do Zoom, mas poderia ser repensada.

"É uma característica da solução, não necessariamente uma falha. Mas eles poderiam te dar a opção. 'Olha, temos algumas configurações adicionais de segurança'. Esta seria uma conscientização que ajudaria muito", afirma o especialista.

Foto: ANTHONY WALLACE/AFP via Getty Images

O que a empresa diz

Procurada pelo Yahoo, a assessoria de imprensa do Zoom não respondeu até o fechamento desta reportagem. Mas em posts no seu blog oficial, a empresa reconhece as falhas de segurança e as polêmicas envolvendo a privacidade dos usuários.

Na última quinta-feira (2), o próprio CEO e fundador escreveu que o desenvolvimento de novos recursos foi paralisado por 90 dias até que a empresa consiga corrigir todas as falhas e responder à demanda inesperada desses tempos de quarentena.

"Reconhecemos que não atingimos as expectativas de privacidade e segurança da comunidade e as nossas", escreveu Eric Yuan. "Não desenvolvemos o produto com a previsão de que, em questão de semanas, todas as pessoas no mundo de repente estariam trabalhando, estudando e socializando de casa."

"Agradecemos o escrutínio e as perguntas que temos recebido. Essas são as perguntas que tornarão o Zoom melhor, tanto como empresa quanto para todos os seus usuários. Nós as levamos extremamente a sério. Estamos analisando cada uma delas e abordando os problemas da maneira mais rápida possível. Estamos comprometidos em aprender com eles e fazer melhor no futuro."

Dica de segurança

Como, então, se proteger se você tiver que usar o Zoom por demanda da empresa ou porque é a ferramenta mais fácil à disposição do seu grupo de amigos ou familiares? Segundo Denis, é preciso se aventurar pelo menu de configurações do app e tornar a experiência um pouco mais burocrática se você preza pela sua segurança e privacidade.

Riviello recomenda que usuários definam uma senha de acesso ao aplicativo, de modo que apenas pessoas que sabem a senha possam acessar a sala de videoconferência. Outra dica é configurar uma sala de espera, de modo que apenas o criador da chamada possa aprovar quem entra na conversa.

O especialista recomenda também que o usuário desative a função que permite salvar e exportar automaticamente o conteúdo das chamadas e o compartilhamento de tela por membros do chat que não sejam os "anfitriões". É importante também não vincular sua conta do Facebook ou de outras redes sociais ao app.

Bateu a dúvida? Não instale o Zoom. "Para usuários que não têm familiaridade com tecnologia, eu indico que não utilizem mesmo. Existem outras plataformas que têm menos vulnerabilidades e que são hoje mais maduras e mais seguras", conclui Riviello.

Siga o Yahoo Finanças no Instagram, Facebook, Twitter e YouTube e aproveite para se logar e deixar aqui abaixo o seu comentário.