Blog Archive

Gli evidenti problemi di sicurezza di Zoom

Le videoconferenze online hanno riscontrato una crescita esponenziale a causa dell’emergenza COVID-19. Le aziende utilizzano piattaforme come Zoom, GoToMeeting, WebEx e Microsoft Teams per continuare le loro normali attività attraverso lo Smart Working con i collaboratori.

Oggi parliamo di Zoom: L’improvviso aumento di visibilità ha portato alla scoperta di numerose vulnerabilità che mettono a repentaglio la sicurezza degli utenti di Zoom

Una “interpretazione” ambigua della crittografia end to end

Zoom affermava di offrire la crittografia ‘end-to-end’ delle riunioni video, ma la loro definizione era apparentemente “diversa” rispetto allo standard del settore.
In teoria, la crittografia end-to-end fa si che i dati scambiati siano visibili solo agli utenti utilizzatori (in questo caso i partecipanti di una call), e a nessun altro: neppure all’azienda che offre il servizio.

Secondo Zoom, invece, “crittografia end-to-end” significava che il traffico veniva criptato tra ciascun utente e il server Zoom, utilizzando protocolli comuni come TLS.
In pratica, Zoom ha pieno accesso ai video degli utenti.

La questione dei server in Cina

Alcuni dei server di Zoom sono localizzati in Cina e alcune chiamate sono state “erroneamente” trasmesse attraverso i server cinesi anche se nessun membro della chiamata si trovava in Cina.
Secondo alcune leggi Cinesi, le società che transitano dati in Cina sono legalmente tenute a consegnare tali dati al governo cinese.

Infine, la crittografia a chiave utilizzata per proteggere le riunioni su Zoom viene creata su server situati in Cina.

Indirizzi e-mail e foto Accessibili

Zoom è progettato per consentire ai membri della stessa organizzazione di trovarsi facilmente sulla piattaforma. Per poterlo fare Zoom offre la possibilità di cercare altri membri utilizzando lo stesso nome di dominio del loro indirizzo e-mail.

Tuttavia, questo metodo di ricerca ha creato un problema per alcuni utenti che registrano account con indirizzi e-mail personali. Mentre i provider noti, come google.com, erano stati gestiti in modo appropriato, altri no. Ciò ha consentito agli utenti Zoom di cercare gli indirizzi e-mail e le foto di altri utenti con lo stesso provider di hosting e-mail.

Vulnerabilità legate a Zoom su Windows e Mac

La popolarità di Zoom durante la pandemia COVID-19 ha portato a un maggiore controllo da parte dei ricercatori della sicurezza. Nel giro di un paio di settimane, erano state rilevate vulnerabilità che potrebbero avere un impatto sulla sicurezza degli utenti su piattaforme Windows e Mac. 

Su Windows, il software Zoom includeva una vulnerabilità UNC. Se un utente di Windows clicca sul link di un file archiviato su un server remoto SMB, quel computer invierà l’hash del loro nome utente e password per l’autenticazione al server remoto. 

Un link corrotto rilasciato in una chat di Zoom, durante uno Zoom Bombing, potrebbe fornire a un criminale informatico un gran numero di nomi utente per attacchi di phishing e fornire l’hash delle password per il cracking offline. Subito dopo questa vulnerabilità era stata rivelata, Zoom ha corretto il bug UNC. Gli utenti Mac non erano immuni da queste minacce di sicurezza. Un paio di bug sulla piattaforma avrebbero permesso ai criminali informatici di installare malware sul computer dell’utente, utilizzando un file di installazione Zoom dannoso, o ottenere il controllo del microfono e della webcam del computer.

Meeting Compromessi e il fenomeno sopranominato Zoom Bombing

“Zoom bombing” si riferisce a quegli utenti, non autorizzati, che si uniscono a una riunione e mostrano immagini inappropriate o utilizzano un linguaggio volgare. Questo attacco è possibile per via dalle impostazioni privacy al quanto ‘rilassate’ di Zoom, che non richiedono una password per partecipare né tanto meno l’autorizzazione per entrare nella video chiamata da parte di chi ha creato la chat room. Infatti, per partecipare alla maggior parte delle riunioni su Zoom, serve solo la conoscenza dell’URL di Zoom, che in genere consiste nell’indirizzo Zoom della società (il loro nome di dominio seguito da “zoom.us” o simile) e un codice di nove cifre. Ottenere l’accesso a questo URL è abbastanza semplice in quanto è spesso pubblicato sui social media o può essere trovato inserendo nove cifre a caso. L’incremento dello Zoom Bombing ha portato l’FBI a etichettarlo come un crimine che potrebbe portare a multe o addirittura al carcere. Ovviamente Zoom si è messa al riparo il più velocemente possibile ed ha abilitato nelle impostazioni predefinite ‘le sale d’attesa’ per le riunioni, nel tentativo di rendere più difficile questo tipo di attacco sulla piattaforma.

La necessità di avere videoconferenze sicure

Zoom ha risposto bene alla scoperta dei numerosi problemi di sicurezza trovati sulla loro piattaforma, scusandosi per aver i problemi con la sicurezza e implementato degli update per molti dei problemi rilevati. Tuttavia, il fatto che un numero cosi grande di problemi sono stato rilevati in poco tempo suggerisce che un numero maggiore di problemi potrebbero ancora esserci, evidentemente creando la necessità di una piattaforma per le video chiamate più sicura.