Come noto sono stati numerosi i problemi di sicurezza incontrati da Zoom, la  popolare app di web conference, passata da 10 milioni di utenti giornalieri a fine 2019 ai 200 milioni a fine marzo 2020 e a 300 milioni di utenti giornalieri a fine aprile. A fronte di un fatturato che ha toccato i 190 milioni di dollari nel quarto trimestre dell’anno fiscale 2020 (in crescita di 83 milioni di dollari rispetto al Q4 2019), il valore dell’azione è passato dai 76 dollari per azione del 31 gennaio ai 170 attuali.

Ma Zoom è oggi anche sinonimo di cattiva gestione dei dati e mancanza di policy di sicurezza: mentre l’app veniva scaricata da milioni di persone, salendo tutte le classifiche e superando per numero di download anche le più popolari App social, l’azienda, alla rincorsa del successo, metteva infatti in secondo piano la sicurezza e incorreva in un’infinità di bug e procedure errate. Questo quello che è emerso:

• Scarsa attenzione alla privacy degli utenti:
  • Funzione (poi tolta) di “attendee tracking”: chi organizzava un meeting poteva monitorare il livello di attenzione dei partecipanti a loro insaputa
  • Invio di informazioni sugli utenti a Facebook (anche per utenti NON registrati al social network)
  • Possibilità per i partecipanti (se iscritti al LinkedIn Sales Navigator) di accedere a informazioni LinkedIn di altri partecipanti a loro insaputa
  • Possibilità per sconosciuti (ma con lo stesso dominio, ad esempio, utenti di uno stesso ISP) di avviare call avendo visibilità completa dei contatti condivisi da Zoom (problema poi risolto).
• Mancate procedure di sicurezza:
  • Mancata crittografia end-to-end delle chiamate
  • A inizio aprile – di nuovo per una cattiva gestione interna – Zoom ha ammesso di aver “erroneamente” instradato alcuni dati degli utenti attraverso i server collocati in Cina.
• Vulnerabilità dell’app:
  • con la possibilità per gli attaccanti di installare l’app senza consenso degli utenti su MAC: in questo modo, se l’utente visita una pagina web compromessa, l’attaccante può attivare la sua telecamera e osservarlo (Apple è intervenuta disinstallando il software con una patch)
  • esposizione di credenziali Windows
  • possibilità di intercettare e inviare comandi ad un meeting in corso per persone che non partecipano alla riunione. Questo bug ha avuto grande clamore (in parte risolta, sono state fornite istruzioni su come configurare meglio il sistema per evitarla) in quanto ha permesso lo “Zoombombing”, ossia, la possibilità per esterni di indovinare un Meeting ID e quindi potersi aggiungere in modo non protetto.

Ecco quindi coniato il nuovo termine, “Zoombombing”, con cui si intendono azioni di disturbo organizzate che portano gli hacker a introdursi in videochiamate e riunioni a distanza. Aggressioni con insulti, minacce e molestie che ricordano molto quelle che negli ultimi anni si sono viste sui social network. Poi, ulteriori “accadimenti” sono stati:

• Furto di 500mila credenziali Zoom (nome utente e password), messi in vendita a un prezzo irrisorio, 0,002 centesimi di dollaro per un account (sembra però che potrebbero essere credenziali collegate ad altri data breach).
• Quasi contestualmente all’uscita della nuova versione di Zoom con la risoluzione di molti problemi di sicurezza (la 5.0), gli hacker “etici” di Morphisec Labs hanno individuato una nuova vulnerabilità dell’app che consentirebbe a un attaccante di registrare le riunioni e il testo delle chat a insaputa dei partecipanti ai meeting (anche se l’amministratore ha disabilitato l’opzione di registrazione).

La funzione di Zoom che permetteva di accedere alle informazioni LinkedIn dei partecipanti di una riunione senza il loro consenso.

Da notare che i vari problemi non sono emersi soltanto perché messi in luce dai ricercatori, ma spesso (come in un esperimento collettivo di cosa succede quanto si usa un software non sicuro) per le conseguenze reali che hanno avuto per moltissime persone: ad esempio, le situazioni con Zoombombing a un certo punto sono esplose in tutto il mondo, con interruzioni durante eventi culturali a distanza, incontri religiosi, corsi online, riunioni di amministrazione. Tanto che lo stesso FBI ha rilasciato il 30 marzo un alert riportando il fatto di aver ricevuto moltissime segnalazioni da scuole del Massachusetts su intrusioni di troll con attacchi verbali di vario genere durante le lezioni.

Oggi, grazie anche all’arrivo dell’attesa versione 5.0 dell’app (annunciata con un post sul Blog ufficiale), molte problematiche di sicurezza sono state risolte. Ad esempio, l’azienda ha dichiarato che il problema di reindirizzamento (dati e conversazioni di utenti nordamericani con tanto di chiavi di cifratura sono stati inviare per sbaglio ad alcuni datacenter cinesi) è stato risolto il 3 aprile. Altre misure di sicurezza introdotte sono le nuove policy per l’autenticazione e il collegamento di account, per il PIN della posta vocale, per gli accessi alle registrazioni effettuate (vulnerabilità che aveva portato a un breach relativo alle registrazioni), l’adozione della cifratura AES-256.

Vista la situazione, stupisce quindi che Zoom sia oggi così tanto utilizzato, ma il tema è che le riunioni online sono diventate negli ultimi due mesi molto frequenti, spesso indispensabili, per assicurare il lavoro o più in generale la socialità da remoto. Cosa succedrà nella fase di ritorno alla normalità? In realtà, secondo molti avremo un proseguimento dell’utilizzo di questi strumenti. Secondo il sondaggio lanciato da The Innovation Group nella settimana del 25 marzo (subito dopo il Decreto del 24 marzo con cui venivano bloccate sia la circolazione delle persone sia moltissime attività), a cui hanno risposto 99 aziende dei diversi settori e con diversi ruoli, lo smart working è qui per restare: alla domanda se “Una volta terminata l’emergenza, crede che nella sua azienda sarà incrementato il ricorso allo Smart Working rispetto ai livelli pre-crisi?”, il 65% delle persone ha risposto di Sì, il 29% non si è espresso, solo il 6% ha detto “No”. Motivo in più per stare attenti agli aspetti di sicurezza ….