Eset e i problemi di sicurezza di Zoom
In un periodo in cui la maggior parte delle persone è confinata all’interno delle proprie mura domestiche nel tentativo di contenere la pandemia Covid-19, la popolarità dei software di videoconferenza per il lavoro, l’istruzione e il tempo libero sta esplodendo.
Tra i vari strumenti di comunicazione che sono stati improvvisamente spinti alla ribalta, probabilmente quello che spicca maggiormente è Zoom. La grande richiesta da parte di privati e aziende ha portato a galla un’ondata di problematiche legate alla privacy e alla sicurezza della piattaforma.
Alcuni giorni fa, il fondatore e amministratore delegato dell‘azienda, Eric S. Yuan, si è scusato per i problemi emersi e ha delineato le misure per rafforzare la sicurezza e la privacy di Zoom. Ha anche annunciato uno stop delle attività di sviluppo per 90 giorni, precisando che l’azienda sta dedicando tutte le proprie risorse ingegneristiche alla “risoluzione dei problemi di fiducia, sicurezza e privacy”.
Come ci ricorda Eset, ecco una sintesi delle problematiche chiave che Zoom sta affrontando nell’ultimo periodo: l‘informativa sulla privacy di Zoom non menzionava che la versione iOS della propria app inviava dati analitici a Facebook anche di utenti non in possesso di un account Facebook.
Nonostante le dichiarazioni, i video e audio meeting dell’applicazione non supportano la crittografia end-to-end, ma solo il protocollo crittografico di trasmissione TLS (Transport Layer Security). La differenza sostanziale è che quest’ultimo non garantisce che le comunicazioni degli utenti siano invisibili all’azienda.
Inoltre, sul suo client Windows è stata riscontrata una vulnerabilità UNC path injection che potrebbe esporre le credenziali di accesso a Windows degli utenti e persino portare all’esecuzione di comandi arbitrari sui loro dispositivi.
Altri due bug menzionati da Eset riguardano il client MacOS di Zoom, che potrebbe consentire a un malintenzionato di prendere il controllo di un computer vulnerabile.
Per fortuna, Zoom ha eliminato il “tracciamento dei partecipanti” di Zoom, una funzione che permetteva all’organizzatore di una riunione di verificare se i partecipanti stessero effettivamente prestando attenzione in modalità di condivisione dello schermo.
«Anche in quest’epoca di lavoro a distanza (e non solo quando si tratta di videoconferenze), non dovremmo trascurare la privacy e la sicurezza. Indipendentemente da quanto sia completo e ricco di funzionalità, qualsiasi software può portare nuove minacce, e con esse si aggiungono nuove responsabilità».
«Le misure più efficaci che potete adottare per proteggere la sicurezza e la privacy quando utilizzate Zoom includono un protezione con password delle riunioni e il controllo dei partecipanti con l’aiuto della funzione “Sala d’attesa”».
«Il limitare la possibilità di condivisione dello schermo all’organizzatore e il considerare la possibilità di utilizzare i meeting ID invece dei link quando invitate altri partecipanti, poiché c’è stata un’impennata di domini malware simili a Zoom che cercano di approfittare del successo inaspettato dell’app».
