O serviço de videochamadas Zoom, concorrente do Skype e cada vez mais utilizado durante a pandemia de Covid-19, tem problemas de privacidade. De acordo com a Reuters, a SpaceX, empresa aeroespacial criada por Elon Musk, chegou mesmo a banir a app das ferramentas de trabalho da equipa. Mas não é a única. Na NASA, a agência espacial dos EUA, o Zoom também foi proibido. E, no mesmo país, o FBI tem andado a avisar as pessoas dos problemas que a app levanta. Na Europa, no Reino Unido, o Ministério da Defesa britânico baniu a utilização deste serviço.

Mas antes de tudo, o que é o Zoom? Se ainda não conhece esta aplicação, é provável que não esteja em teletrabalho (ou tenha um chefe e colegas que evitam videochamadas). O Zoom é um serviço gratuito de videoconferência que permite que até 100 pessoas façam parte de uma videochamada até 40 minutos de duração. Para permitir mais, há um serviço pago. A aplicação é utilizada por várias empresas tecnológicas, como o Facebook.

Agora que as dúvidas surgiram, afinal, o Zoom é ou não seguro? Como em qualquer outro software, a resposta não é 100% certa, porque não há sistemas infalíveis a hackers. E, também à semelhança de outros serviços digitais que ganharam bastante sucesso em época de quarentena, como o Houseparty, têm surgido vários avisos relativos aos seus problemas de privacidade. O TechCrunch enumera quais são os principais problemas de privacidade do Zoom e lembra que, desde que o serviço foi lançado, em 2011, tem recebido várias críticas. Ou seja, o problema não é de agora.

O serviço alega ser ciberseguro, no entanto, em julho de 2019, a aplicação obrigou a Apple a ter de fazer uma atualização de segurança, porque instalava — sem conhecimento da empresa ou dos utilizadores — um serviço que permitia ativar, sem conhecimento do utilizador, a câmara dos computadores Mac. O investigador que descobriu esta falha recusou-se a receber dinheiro do Zoom porque isso implicaria que não poderia revelá-la. Quanto aos computadores da empresa fundada por Steve Jobs, recentemente foi descoberto que o software da Zoom utiliza técnicas não recomendadas por motivos de segurança para poder ser instalado no MacOS.

Relativamente a esta última crítica, Eric S. Yuan, o fundador e presidente executivo da empresa, assumiu, um dia depois, também no Twitter, que a empresa tem de “continuar a melhorar”.

A 26 de março deste ano, outra crítica. Foi revelado que o Zoom enviava secretamente dados de utilização para o Facebook sem avisar o utilizador. Por causa disso, a procuradora-geral do estado de Nova Iorque lançou uma investigação ao serviço. Também no campo das autoridades norte-americanas, o FBI critica a app por permitir que os utilizadores que não foram convidados para uma conversa possam entrar nesta, apesar de haver, desde janeiro deste ano, medidas que evitam esta tática.

Desde 19 de março que o movimento “Access Now” pede à Zoom para revelar o relatório de transparência, como conta o The Verge. Esta é uma prática que várias empresas tecnológicas, como a Google ou a Microsoft, seguem. Neste relatório é revelado quantos pedidos de autoridades estas organizações recebem para ceder dados e a quantos recusou fazê-lo.

Outra das críticas que a aplicação recebe do “Access Now” é a de o software permitir mostrar a outros participantes das chamadas se um utilizador tem ou não a janela aberta, o que ataca bastante a privacidade. Um equivalente ao WhatsApp permitir, por defeito, que os utilizadores saibam quando alguém leu uma mensagem, por exemplo.

[Inicialmente, o Zoom era focado para ser utilizado por empresas. Agora, o serviço é utilizados por 200 milhões de utilizadores. O vídeo promocional do serviço de 2018]

Além destas críticas, uma das principais tem sido um ataque direto ao marketing do Zoom. Como revelou o The Intercept esta segunda-feira, o software não utiliza comunicações encriptadas end-to-end (um sistema digital que permite que só o remetente e o destinatário possam ler as mensagens recebidas e enviadas). No entanto, o Zoom afirma que o faz (outra aplicação que utiliza esta tecnologia afirmando proteger a privacidade é o WhatsApp, por exemplo).

A explicação técnica pode ser confusa sobre o que o Zoom faz realmente quanto a encriptação dados. Contudo, como esse jornal explica, apesar de as comunicações serem encriptadas, a empresa tem sempre acesso ao que acontece nas videochamadas. O Zoom já se defendeu e diz que não acede diretamente aos dados nem vende o que recolhe.

O Zoom tem um plano e revela que passou de 10 milhões de utilizadores para 200 milhões em apenas três meses

Como o Zoom ganhou rapidamente muito sucesso, inicialmente a justificação da empresa– pela voz de Janine Pelosi, diretora de marketing, em entrevista ao Protocol — foi que o serviço não foi desenhado para consumidores. Apesar de, atualmente, ser bastante utilizado por grupos que vão de chefes de governo a alunos que querem assistir a uma aula, o público a quem se direcionava eram empresas. Ou seja, só nos últimos tempos é que a aplicação tem sido alterada para chegar a um público maior, que abre as portas a mais problemas de cibersegurança.

Contudo, em contraponto a Pelosi, Casey Newton, do The Verge, afirma que o serviço há já vários anos que andava a querer chegar também ao consumidor final e, para o provar, dá o exemplo do login pelo Facebook (um produto para empresas não precisa disso) que a aplicação utiliza. De acordo com o jornalista, o produto está desenhado também para o consumidor, tem é de melhorar.

Depois de todas estas críticas, Eric S. Yuan quis acalmar os utilizadores. Num comunicado, o líder da empresa revelou um conjunto de medidas que quer pôr em prática nos próximos 90 dias para colmatar os problemas de privacidade que o serviço tem. Quanto ao porquê de ainda não o ter feito, deixou uma revelação: em dezembro, tinham 10 milhões de utilizadores. Agora, têm 200 milhões.

Nas últimas semanas, apoiar o fluxo de utilizadores tem sido uma tarefa tremenda e o nosso único foco (…) No entanto, reconhecemos que ficámos aquém das expectativas da comunidade – e da nossa – quanto privacidade e segurança”, assume Yuan.

À semelhança do que Mark Zuckerberg faz no Facebook (o presidente executivo e fundador dessa empresa), Yuan comprometeu-se a, todas as quarta-feiras, fazer uma conferência online do Zoom para discutir os problemas de privacidade e atualizações de segurança. Além disso, nos próximos 90 dias o serviço não vai ter funcionalidades novas. O único objetivo agora é melhor as questões de privacidade (como poder-se entrar numa sala sem código, como avisou o FBI).

Para acautelar futuras críticas, Yuan diz ainda que vai ter auditorias de “empresas terceiras e, em resposta à crítica do “Access Now”, promete que vai lançar um relatório de transparência.

Como utilizar o Zoom com mais segurança?

Depois disto tudo, é o Zoom completamente inseguro? Como qualquer software, principalmente um que rapidamente entrou na vida de tantas pessoas, há sempre questões de cibersegurança e há sempre medidas preventivas para se proteger quando está online. A premissa, contudo, tem de ser uma: na internet, nada é 100% seguro, mas não significa que não a podemos usar.

Sabe fazer videochamadas em grupo no WhatsApp? Tire aqui a suas dúvidas

David Emm, investigador de segurança na Kaspersky, refere que há uma pergunta que pode ajudar a perceber se uma app ou serviço é seguro e como utiliza os dados: “Como é que esta app faz dinheiro?”. Como conta Emm, “se é gratuita, a informação pessoal é provavelmente o preço a pagar – por isso, devemos olhar para as permissões de forma a perceber que tipo de dados a aplicação recolhe, armazena e reutiliza”.

Além disso, o investigador deixa outras questões. “Como é que sabemos que os utilizadores da app com os quais estamos conectados são exatamente quem dizem ser e como é que verificamos a informação ou links que nos enviam?“.

Como responde, “é importante estar atento às táticas de engenharia social, que procuram tentar convencer o utilizador de algo fictício através de diversas formas de interação”.

Por fim, o investigador deixa 10 dicas que podem ajudar na utilização do Zoom e outras apps de videochamadas.

  1. Rever atentamente as definições de privacidade e segurança;
  2. Utilizar palavras-passe únicas e complexas para cada uma das contas online;
  3. Limitar o que pode ser visto ou partilhado;
  4.  Não confiar automaticamente em alguém e verificar com os contactos se foi realmente essa pessoa que se conectou à aplicação;
  5. Desativar recursos, a menos que os queiramos utilizar ou precisemos de aceder aos
    mesmos (por exemplo, o acesso ao microfone e à câmara);
  6.  Não partilhar em demasia – não publicar nada se não queremos que alguém veja;
  7. Denunciar situações de abuso;
  8. Proteger todos os dispositivos com um produto de segurança para Internet com boa
    reputação;
  9. Instalar as atualizações ao sistema mal estejam disponíveis;
  10. Em situações de trabalho, utilizar sempre a aplicação que for recomendada pela empresa, ao invés da sua app favorita para conversar em grupo.