Nos últimos anos, avanços significativos em plataformas como Skype, Google Hangouts, Zoom e WhatsApp tornaram mais fácil ter uma interação cara-a-cara entre pessoas em diferentes lugares.

Equipes remotas podem conduzir reuniões importantes, famílias podem se reencontrar, tudo isso independente de distância geográfica, tudo graças ao poder tecnológico dessas plataformas. Contudo, enquanto nós aproveitamos essa conveniência em nossas vidas pessoais e profissionais, a sociedade ainda não concluiu que essa é mais uma vulnerabilidade potencial a nossa privacidade e segurança.

 

Hackeando plataformas de videoconferência

Não chega a ser uma surpresa, mas essas plataformas podem ser hackeadas. Em agosto de 2018, o Google Project Zero revelou vulnerabilidades críticas localizadas nas arquiteturas mais comuns de videoconferência, incluindo WebRTC (usado por Chrome, Safari, Firefox, Facebook Messenger e outros), PJSIP (usado por WhatsApp) e a livraria proprietária da Apple para o FaceTime. Se exploradas, essas vulnerabilidades poderiam levar a uma overflow de memória e, consequentemente, o controle da conta de videoconferência do usuário.

Um ataque pode ser orquestrado de diferentes formas:

Podemos usar o WebRTC como um exemplo. Se simplificarmos o protocolo ao básico, o consumidor irá usar um servidor de sinalização para iniciar a comunicação e então se comunicar diretamente usando uma API PeerConection. Isso é mostrado no diagrama abaixo.

POC ataque a videconferência

Em um cenário de ataque, o invasor implementa um client, alavancando as vulnerabilidades encontradas, e então usa o servidor de sinalização existente para iniciar a comunicação e executar o ataque, como mostrado abaixo.

POC ataque a videconferência 2

Uma forma mais complexa, mais ainda sim possível é onde o atacante toma controle do servidor de sinalização. Nesse caso, o atacante persuade o alvo a conectar a um servidor de sinalização sob seu controle (por exemplo, usando o browser e engando o usuário a clicar em um link). Então, o atacante usa isso para explorar as vulnerabilidades encontradas, como mostrado abaixo.

POC ataque a videoconferencia 3

De acordo com o Google Project Zero, essas vulnerabilidades são muito sérias. As livrarias usadas por muitas plataformas de videoconferência, incluindo FaceTime e WhatsApp, podem estar vulneráveis a esses ataques.

 

Por enquanto apenas uma Prova de Conceito

O cenário não é bom, mas até onde temos evidências, esse exploit existe apenas como uma Prova de Conceito, o que significa que ainda não foi utilizado por atacantes. Pouco depois que as vulnerabilidades foram reveladas para WhatsApp e FaceTime, elas foram corrigidas e não são mais consideradas como ameaça.

Contudo, isso significa que ataques contra plataformas de videoconferência podem, e muito provavelmente vão acontecer. Ainda que as vulnerabilidades que mencionamos foram corrigidas, não vai tardar para que os criminosos encontrem outros meios.

Você pode se perguntar o que os atacantes podem querer com uma invasão a esses sistemas. No ambiente corporativo, essas plataformas são formas de se conduzirem reuniões importantes, onde tópicos sensíveis podem estar sendo discutidos.

 

Como se proteger de vulnerabilidades e plataformas de videoconferência

Existem formas pelas quais as empresas podem se proteger para não serem vítimas quando os criminosos começarem a explorar de forma massiva essas plataformas:

1 – Esteja sempre com a plataforma atualizada em sua última versão. Os updates, assim como em outras aplicações, possuem patches que corrigem as vulnerabilidades identificadas, o atraso na aplicação desses patches deixa você em risco.

2 – Coloque a plataforma de videoconferência protegida em seu ambiente corporativo. Isso vai mitigar acesso não autorizado e restringir o acesso a outros recursos caso ocorra um ataque.

3 – Não atenda chamados de fontes desconhecidas. Esse é um conselho aplicável para diversas situações. Atacantes são criativos e exploram diferentes métodos, na dúvida, ignore chamadas suspeitas.

Como ocorre em todas as provas de conceito, agora que foi demonstrado a possibilidade real do ataque, devemos esperar que os criminosos direcionem sua atenção para esse vetor. O mesmo deve ocorrer com a operação de segurança das empresas. Se as plataformas de videoconferência estavam esquecidas nas listas de prioridade, dê uma atenção e verifique como anda a situação em seu ambiente.