Zoom e le sue vulnerabilità di sicurezza: come abbassare i rischi di essere spiati durante le videochiamate (aggiornato: Zoom risponde)

Vincenzo Ronca -

Zoom è una delle piattaforma più note e diffuse tra quelle per le videochiamate di gruppo, sicuramente molto utilizzata soprattutto in questo periodo di isolamento nelle case a livello mondiale. Probabilmente anche per questo è passata sotto la lente di ingrandimento di chi si occupa di sicurezza e privacy, e non ne è uscita per niente bene.

Le vulnerabilità di sicurezza insite in Zoom non sono poche e questo dovrebbe preoccupare i suoi utenti. The Verge ha riportato la ricerca di The Intercept, secondo la quale Zoom non offre protocolli di crittografia end-to-end, come l’azienda stessa assicura nel suo white paper: secondo The Intercept infatti la crittografia sarebbe implementata soltanto tra l’utente e i server dell’azienda e non tra gli utenti. Zoom ha anche risposto alla questione, affermando che per crittografia end-to-end intendono quella implementata tra ogni end point.

LEGGI ANCHE: le 10 migliori app per videochiamate di gruppo

Non sono finite le grane per Zoom: il The Washington Post infatti ha rilevato che diverse migliaia di video, contenenti le registrazioni di videochiamate, sono state postate online su servizi come Amazon Web Services (AWS) senza alcuna protezione. I video scovati erano nominati in modo identico, alcuni dei quali sono stati pubblicati anche su YouTube e Vimeo. Zoom ha commentato la vicenda specificando che in caso di registrazione tutti i partecipanti vengono avvertiti e rimane una scelta dell’utente se memorizzare il contenuto online o esclusivamente in locale.

Alla base del problema ci sarebbe il modo in cui Zoom nomina i file, e al momento non è chiaro se questo verrà modificato per impedire ulteriori problemi di privacy. Tra i video scovati online ci sono meeting aziendali come lezioni scolastiche, una tipologia di informazioni estremamente sensibili.

Altri problemi hanno riguardato la possibilità di introdursi in meeting Zoom senza essere invitati: sempre The Verge cita un software, chiamato zWarDial, che è stato in grado di scovare almeno 2.400 indirizzi di meeting Zoom in un solo giorno. Questi numeri sono così alti che hanno preoccupato Zoom e portato il suo team di sviluppo a pensare di introdurre la protezione tramite password di default per i meeting sulla piattaforma.

Dunque, come proteggersi finché non verranno implementate misure di sicurezza più solide? Un passo fondamentale è associare sempre una password di accesso al momento della creazione del meeting Zoom. Inoltre, suggeriamo caldamente di registrare il meeting, se è proprio necessario registrarlo, e salvarlo esclusivamente in locale, evitando di affidarsi ai server Zoom per il momento.

Aggiornamento06/04/2020 ore 10:45

Dopo le varie criticità evidenziate di sicurezza e privacy evidenziate nei giorni scorsi per Zoom, il suo CEO – Eric S. Yuan – ha commentato la vicenda alla CNN ammettendo sostanzialmente gli errori commessi. Con uno sfondo di Terra a forma di cuore, con annessa descrizione We care, si è rivolto ai suoi utenti spiegando che sicuramente sono stati commessi degli errori da parte di Zoom, muovendosi troppo velocemente per soddisfare la crescita esponenziale degli utenti. Effettivamente Zoom ha registrato un incremento da 10 a 200 milioni di utenti attivi a partire dall’emergenza sanitaria.

Yuan ha anche riferito al Wall Street Journal che si sente di non aver svolto a dovere il suo ruolo di CEO e che ora l’obiettivo principale per la sua azienda è riconquistare la fiducia dei suoi utenti. Al momento non è stato chiarito quali misure correttive arriveranno, ne quando arriveranno. Vi terremo aggiornati sui prossimi ulteriori sviluppi.

Via: 9to5Mac, The Verge