La continua richiesta di organizzare video conferenze sia tra persone sia tra aziende sta evidenziando molti problemi di privacy e sicurezza che la piattaforma deve risolvere. In un periodo in cui la maggior parte delle persone è confinata all’interno delle proprie mura domestiche nel tentativo di contenere la pandemia COVID-19, la popolarità dei software di videoconferenza per il lavoro, l’istruzione e il tempo libero sta esplodendo. Tra i vari strumenti di comunicazione che sono stati improvvisamente spinti alla ribalta, probabilmente quello che spicca maggiormente è Zoom.
La grande richiesta da parte di privati e aziende ha portato a galla un’ondata di problematiche legate alla privacy e alla sicurezza della piattaforma, che oggi viene utilizzata persino per le riunioni quotidiane del governo britannico anche se, curiosamente, il Ministero della Difesa britannico proibisce ai propri dipendenti di utilizzare l’app.
Lo sviluppatore dell’app sta affrontando una tempesta di critiche da vari fronti, tra cui sostenitori della privacy, esperti di sicurezza, diversi linkalti funzionari US e l’linkFBI. Le critiche hanno continuato ad accumularsi negli ultimi giorni, tanto da spingere l’azienda a rispondere.
Alcuni giorni fa, il fondatore e amministratore delegato dell‘azienda, Eric S. Yuan, si è scusato per i problemi emersi e ha delineato le misure per rafforzare la sicurezza e la privacy di Zoom. Ha anche annunciato uno stop delle attività di sviluppo per 90 giorni, precisando che l’azienda sta dedicando tutte le proprie risorse ingegneristiche alla “risoluzione dei problemi di fiducia, sicurezza e privacy”.
Ecco una sintesi delle problematiche chiave che Zoom sta affrontando nell’ultimo periodo:
- L‘informativa sulla privacy di Zoom non menzionava che la versione iOS della propria app inviava dati analitici a Facebook anche di utenti non in possesso di un account Facebook, secondo un rapporto di Vice della fine di marzo. L’azienda ha riconosciuto il problema e ha rimosso il Software Development Kit (SDK) di Facebook per iOS. Zoom è attualmente alle prese con una causa collettiva in California su questa criticità.
- Nonostante le dichiarazioni, i video e audio meeting dell’applicazione non supportano la crittografia end-to-end, secondo una ricerca di The Intercept. L’azienda si è giustificata chiarendo che utilizza il protocollo crittografico di trasmissione TLS (Transport Layer Security). La differenza sostanziale è che quest’ultimo non garantisce che le comunicazioni degli utenti siano invisibili all’azienda.
- L’app ha anche rivelato diverse vulnerabilità nella sicurezza, anche se sono state tutte risolte in breve tempo. Sul suo client Windows è stata riscontrata una vulnerabilità UNC path injection che potrebbe esporre le credenziali di accesso a Windows degli utenti e persino portare all’esecuzione di comandi arbitrari sui loro dispositivi. Altri due bug, questa volta riguardanti il client MacOS di Zoom, avrebbero potuto consentire a un malintenzionato di prendere il controllo di un computer vulnerabile.
- L’azienda ha anche eliminato il “tracciamento dei partecipanti” di Zoom, una funzione che permetteva all’organizzatore di una riunione di verificare se i partecipanti stessero effettivamente prestando attenzione in modalità di condivisione dello schermo.
- L’FBI ha anche evidenziato il fenomeno “Zoom-bombing” a seguito di molteplici segnalazioni che riportavano episodi di troll che si intrufolavano in riunioni private e lezioni scolastiche per mostrare immagini non adatte al contesto.
Il problema avrebbe potuto colpire un numero enorme di persone, dato che la piattaforma ha visto un’impennata da 10 milioni a 200 milioni di utenti giornalieri negli ultimi tre mesi. Per ammissione dello stesso Yuan, Zoom è stato sopraffatto da un imprevisto successo. “Ora abbiamo un insieme molto più ampio di utenti che stanno utilizzando il nostro prodotto in una miriade di modi inaspettati, presentandoci sfide che non avevamo previsto quando la piattaforma è stata concepita”, ha sottolineato Yuan.
Come rimanere al sicuro
Anche in quest’epoca di lavoro a distanza (e non solo quando si tratta di videoconferenze), non dovremmo trascurare la privacy e la sicurezza. Indipendentemente da quanto sia completo e ricco di funzionalità, qualsiasi software può portare nuove minacce, e con esse si aggiungono nuove responsabilità. Le misure più efficaci che potete adottare per proteggere la sicurezza e la privacy quando utilizzate Zoom includono:
- Protezione con password delle vostre riunioni e/o controllo dei partecipanti alle riunioni con l’aiuto della funzione “Sala d’attesa” di Zoom.
- Limitare la possibilità di condivisione dello schermo all’organizzatore.
- Utilizzo della versione più recente di Zoom.
- Astenersi dal condividere link o ID di riunione sui social media.
- Considerare la possibilità di utilizzare i meeting ID invece dei link quando invitate altri partecipanti, poiché c’è stata un’impennata di domini malware simili a Zoom che cercano di approfittare del successo inaspettato dell’app.
Per essere sicuri quando si utilizzano le app per videoconferenze, assicuratevi di leggere il nostro articolo di approfondimento sull’argomento: Lavorare da casa: Videoconferenze con la sicurezza in primo piano.
A cura di Tomáš Foltýn, Content Writer, ESET Security Community
