Os problemas com os apps de videoconferência

Como está a segurança dos apps mais populares de videoconferência?

#FiqueEmCasa não é apenas uma tag popular nas redes sociais hoje em dia, mas também uma dura realidade para as empresas devido à pandemia do coronavírus que se veem obrigadas a orientar suas equipes a trabalhar remotamente. As reuniões presenciais foram substituídas por videochamadas. Portanto, antes de optar por um aplicativo de videoconferência, dê uma olhada nos mecanismos de proteção de dados. Para deixar claro, não realizamos testes nestes apps em nossos laboratórios; fizemos pesquisas e análises em fontes publicamente disponíveis para obter informações sobre problemas conhecidos nos softwares mais utilizados.

Google Meet e Google Duo

O Google oferece dois serviços de videochamada: Meet e Duo. O primeiro é um aplicativo que se integra aos outros serviços do Google (o G Suite). Se sua empresa optou por esse pacote, o Hangouts Meet se encaixa perfeitamente.

Segurança – Google Meet

Entre as vantagens do Meet, o fornecedor cita a infraestrutura confiável de processamento de dados, a criptografia (embora não seja de ponta a ponta) e um conjunto de ferramentas de proteção, todas ativas por padrão. Como a maioria dos outros produtos comerciais, G Suite, incluindo o Google Meet, está em conformidade com os padrões avançados de segurança e oferece opções de configuração e gerenciamento de direitos de acesso entre seus recursos.

Segurança – Google Duo

O aplicativo para dispositivos mobile Duo, por outro lado, protege os dados usando criptografia de ponta a ponta. No entanto, é um aplicativo desenvolvido para usuários particulares, não para empresas. Suas conferências permitem conectar apenas até 12 participantes.

Vulnerabilidades e desvantagens

Além de algumas mensagens (lembrando a todos que o Google coleta dados do usuário e, portanto, pode ser uma ameaça para segredos comerciais), não conseguimos encontrar informações concretas sobre o desempenho de segurança desses aplicativos. Isso não significa que os serviços do Google sejam impecáveis, mas são apoiados por uma equipe de segurança muito robusta que tende a corrigir erros antes que causem qualquer problema.

Slack

No Slack, você pode criar vários chats para equipes, convenientemente mostrados em uma janela, além de canais dentro do seu espaço de trabalho dedicados a diferentes projetos. A conferência é limitada a 15 participantes.

Segurança

O Slack está em conformidade com vários padrões internacionais de segurança, incluindo o SOC 2. O serviço pode ser configurado para trabalhar com dados médicos e financeiros, permitindo que as empresas selecionem uma região para armazenamento de dados. E ingressar em um espaço de trabalho do Slack requer um convite ou um endereço de e-mail usando o domínio corporativo.

O Slack também oferece a seus clientes instrumentos flexíveis de gerenciamento de riscos, integração com soluções de prevenção contra perda de dados (DLP, na sigla em inglês) e ferramentas de controle de acesso a dados. Por exemplo, os administradores podem restringir o uso do Slack de dispositivos pessoais e a cópia de informações de seus canais.

Vulnerabilidades e desvantagens

Segundo os desenvolvedores do Slack, apenas um número limitado de empresas realmente precisa de criptografia de ponta a ponta, e a implementação do recurso pode limitar a funcionalidade. Portanto, o Slack aparentemente não tem planos de adicionar criptografia de ponta a ponta.

Também permite integrar aplicativos de terceiros, cuja segurança não é de responsabilidade do Slack.

Além disso, os pesquisadores descobriram vulnerabilidades sérias no Slack. O serviço já corrigiu alguns como um bug que permitia que os invasores roubassem dados e outro que possibilitava a interceptação da sessão de um usuário.

Teams

O Microsoft Teams se integra ao Office 365, principal vantagem para um usuário corporativo. Em resposta à crescente demanda por ferramentas para viabilizar o home office, a Microsoft agora oferece uma avaliação gratuita de seis meses do Microsoft Teams, mas os usuários que usufruem deste período de teste não poderão definir configurações e políticas, expondo-se assim a um potencial comprometimento da segurança.

Segurança

O Teams está em conformidade com vários padrões internacionais, pode ser configurado para trabalhar com dados médicos confidenciais e possui opções flexíveis de gerenciamento de segurança. Em alguns planos do serviço, ferramentas adicionais podem ser integradas ao Teams, como DLP ou verificação de arquivos enviados. Nossa solução para proteger o Office 365 analisa os dados trocados por meio do Teams para impedir a disseminação de malwares pela rede corporativa.

Os dados enviados ao servidor, sejam eles via conversas ou videochamadas, são criptografados, mas novamente não estamos falando sobre criptografia de ponta a ponta. Por falar em armazenamento e processamento, as informações nunca saem da região em que sua empresa opera.

Vulnerabilidades

É uma boa ideia monitorar vulnerabilidades no Teams. A Microsoft geralmente corrige brechas de segurança rapidamente, mas elas surgem de tempos em tempos. Por exemplo, os pesquisadores descobriram recentemente uma vulnerabilidade (já corrigida) que permitia o controle de contas.

Skype for Business

A versão em nuvem do Skype for Business – o antecessor do Teams no Office 365 – está gradualmente se tornando uma coisa do passado, mas você ainda pode instalá-lo localmente. Alguns usuários o acham mais conveniente do que o Teams, e a Microsoft continuará a oferecer suporte à versão local do Skype pelos próximos dois anos.

Segurança

O Skype for Business criptografa informações, mas não de ponta a ponta, e a proteção do serviço é configurável. Ele também usa software de servidor local, para que chamadas de vídeo e outros dados nunca saiam da rede corporativa – uma vantagem óbvia.

Vulnerabilidades e desvantagens

O suporte para o produto não durará para sempre. A menos que a Microsoft altere seus planos, ele deve terminar em julho de 2021 e o Skype for Business Server 2019 terá suporte estendido até 14 de outubro de 2025.

WebEx Meetings e WebEx Teams

O Cisco WebEx Meetings é um serviço com foco restrito para videoconferências. Já o Cisco WebEx Teams é um serviço de coworking completo que, entre outras coisas, suporta chamadas de vídeo. Quanto ao escopo deste post, a diferença está na abordagem de criptografia.

Segurança

O Cisco WebEx Meetings inclui serviços para empresas e criptografia de ponta a ponta. (A opção está desativada por padrão, mas o provedor pode ativá-la mediante solicitação. Isso limita um pouco a funcionalidade da ferramenta, mas se seus funcionários lidam com informações confidenciais em reuniões, certamente pode valer a pena leva-la em conta.) O Cisco WebEx Teams fornece criptografia de ponta a ponta apenas para correspondências e documentos, enquanto as chamadas de vídeo e áudio são descriptografadas nos servidores da Cisco.

Vulnerabilidades e desvantagens

Somente em março deste ano, o distribuidor corrigiu duas vulnerabilidades do WebEx Meetings que ameaçavam a execução remota de código. E, no início do ano passado, um bug sério foi encontrado no cliente WebEx Teams. Ele permitia a execução de comandos com os privilégios do usuário atual. A Cisco é conhecida por levar a sério a segurança e atualiza seus serviços rapidamente.

WhatsApp

O WhatsApp foi desenvolvido para comunicação social, não para negócios, mas o aplicativo gratuito pode cobrir as necessidades de videoconferência de pequenas empresas ou equipes. O programa não é adequado para grandes empresas; as videoconferências estão disponíveis apenas para até quatro participantes por vez.

Segurança

O WhatsApp tem a vantagem indiscutível da verdadeira criptografia de ponta a ponta. Isso significa que nem terceiros nem funcionários do WhatsApp podem visualizar suas videochamadas. Mas, diferentemente dos aplicativos de negócios, o WhatsApp quase não oferece opções de gerenciamento de segurança de bate-papo e chamadas, apenas o que está embutido.

Vulnerabilidades e desvantagens

No ano passado, criminosos distribuíram o spyware Pegasus por meio de videochamadas do WhatsApp. O bug foi corrigido, mas lembre-se de que o aplicativo não tem o objetivo de oferecer proteção à nível empresarial, portanto, no mínimo, os usuários devem acompanhar atentamente as notícias de cibersegurança.

Zoom

A plataforma de videoconferência baseada em nuvem, Zoom, está no ar desde o início da epidemia. Seus preços flexíveis (com conferências gratuitas de 40 minutos até 100 participantes) e facilidade de uso atraíram muitos usuários, mas os pontos fracos da plataforma também chamaram muita atenção.

Segurança

O serviço está em conformidade com o padrão internacional de segurança SOC 2, oferece um plano de serviço separado em conformidade com a HIPAA para prestadores de serviços de saúde e possui configuração flexível. Os organizadores das sessões podem bloquear os participantes, mesmo se eles tiverem o hiperlink e a senha corretos, proibir a gravação e muito mais. Se necessário, o Zoom pode ser configurado de forma que nenhum tráfego saia da empresa.

O Zoom tem abordado ativamente os problemas de vulnerabilidade relatados, e a empresa diz que planeja priorizar a segurança do produto em vez de adicionar novos recursos.

Vulnerabilidades e desvantagens

O Zoom afirma ter implementado criptografia de ponta a ponta, mas a afirmação não é justificada. Com a criptografia de ponta a ponta, ninguém além do remetente e do destinatário pode ler os dados transmitidos, enquanto o Zoom descriptografa os dados de vídeo em seus servidores, e nem sempre no país de origem da sua empresa.

Vulnerabilidades de gravidade variável foram descobertas nos aplicativos Zoom. Foi relatado que os clientes Windows e macOS da Zoom tinham um bug (já corrigido) que permitia a hackers roubarem dados da conta do computador. Mais dois bugs no aplicativo macOS podem permitir que os invasores assumam o controle completamente do dispositivo.

Além disso, muitas reportagens mostraram que trolls na internet visitavam conferências abertas, desprotegidas, sem senhas, para postar comentários duvidosos e compartilhar telas com conteúdo obsceno. No geral, você pode corrigir o problema configurando sua conferência adequadamente, mas o Zoom também adicionou a proteção por senha padrão para melhorar a segurança.

Em meio a notícias de problemas de segurança no Zoom, grandes players depreciam o serviço. Mas todos os serviços têm vulnerabilidades e, no caso de Zoom, a popularidade explosiva trouxe um tremendo escrutínio.

Escolha a aplicação que melhor atende suas necessidades

Não existe um aplicativo de videoconferência perfeitamente seguro – nem nenhuma aplicação de outro tipo. Escolha um serviço cujas desvantagens não sejam problemáticas para os seus negócios. E lembre-se, escolher o aplicativo certo é apenas o passo 1.

  • Tire algum tempo para configurar adequadamente o serviço. Configurações muito permissivas podem levar a vazamentos.
  • Atualize seus apps com correções de vulnerabilidades o mais rápido possível.
  • Certifique-se que seus funcionários tenham ao menos os conhecimentos básicos de comportamento na internet. Se não, promova uma aula de treinamento remoto em nossa plataforma Kaspersky Automated Security Awareness Platform.

 

Dicas