Foi publicada pelo Instituto Politécnico de Lisboa, a 15 de abril de 2020, uma notícia a propósito das questões de (in)segurança na utilização da plataforma Colibri/Zoom e que aqui replicamos.
Posteriormente, a FCT/FCCN apresentou uma série de esclarecimentos relativos aos detalhes de cibersegurança associados à utilização do Colibri, cuja leitura também recomendamos (ler a notícia da FCT/FCCN aqui).
A maioria dos problemas de segurança revelados sobre a plataforma Colibri/Zoom estão relacionados com a forma como é usada e de como estão selecionadas diversas opções de controlo dos participantes na sessão, nomeadamente com a permissão de partilha de ecrã por todos os participantes ou o acesso à sessão com um simples link sem palavra-chave de sessão ou sala de espera.
Outro problema mais facilmente explorável permitia que na janela de “chat” se enviassem links que quando abertos pelos participantes poderia levar o seus sistemas a revelarem palavras-chave (do acesso local do Windows) a sistemas terceiros. Este problema já foi resolvido há cerca de uma semana pela Zoom com a distribuição de nova versão do software.
Outro problema que consideramos menos critico, apesar de preocupante, é o facto de a cifra de dados usada nas comunicações ser, segundo dizem, bastante fraca e não baseada em algoritmos conhecidos e de segurança comprovada, mas existe a informação que a Zoom estará a preparar nova versão que resolve o problema mencionado.
Quando ao problema mais recente que foi noticiado, relativo à existência de repositórios com dados de utilizadores obtidos por “hackers”, tal referir-se-à a utilizadores com conta local na Zoom (não é conhecida a fonte da informação, como foi esta obtida). A comunidade académica nacional (incluindo o IPL), obtém privilégios na plataforma via um sistema de “single-sign-on” (IdP) em que o site da Zoom redireciona para um nosso, o nosso valida o utilizador e só fornece à Zoom a informação de que o utilizador é legitimo, o endereço de email e nome para identificação deste bem como um atributo de “papel na instituição” que indica se é docente, não docente ou aluno para que possam realizar diferenciação do serviço (ex. permitindo sessões mais longas ou com mais participantes).
Os participantes que acedam sem “login”, apenas com o link e palavra-chave fornecida pelos promotores da sessão (professores), ainda fornecem menos informação à plataforma.
Apesar da visibilidade estar neste momento no Zoom, pelo sucesso que estão a ter, com muitos a procurar falhas neste, temos em querer que as soluções concorrentes poderão ter problemas semelhantes, apenas não foram ainda explorados por serem plataformas que estão de momento a ter menor visibilidade.Sendo a solução oficial promovida pela FCT/FCCN e financiada pelo MCTES, é a solução que recomendamos e sobre a qual continuamos a dar suporte.
Continuaremos atentos às questões de segurança diretamente relacionadas com a plataforma Zoom, e interviremos caso se confirme algum risco imediato para a nossa comunidade de utilizadores, ou sejam recebidas outras orientações superiores.
