Fino a pochi mesi fa, l’applicazione di servizi di videoconferenza più chiacchierata del momento era senza ombra di dubbio appannaggio di pochi utenti. Nonostante avesse dietro un colosso della Silicon Valley quotato in borsa, è incontestabile che solo recentemente sia salita ad oltre 200 milioni di utenti giornalieri, da una media di 10 milioni solo lo scorso dicembre, insieme ad un aumento del 535% del traffico giornaliero verso la sua pagina di download solamente nell’ultimo mese.
Nello stesso periodo però, oltre ai volumi di affari, sono incrementati anche i problemi. Come già pubblicato dal nostro direttore editoriale in un articolo utile anche da recap, nell’ultimo mese i guai sono aumentati a dismisura.
Eppure non è la prima volta che si presentano delle criticità.
Nel 2018 venne riscontrata una vulnerabilità che permetteva ai malintenzionati di poter rimuovere i partecipanti dalle riunioni, falsificare i messaggi dagli utenti o dirottare schermate condivise.
L’anno successivo il portale britannico The Register riportò la scoperta di un ingegnere informatico della Gradle Inc., Jonathan Leitschuh, il quale dimostrava una vulnerabilità zero-day nel client Zoom per Mac che permetteva a qualsiasi sito Web dannoso di abilitare la fotocamera senza autorizzazione e connettere l’ignaro utente alle videochiamate.
La rapida e improvvisa ascesa come servizio di comunicazioni, a seguito della pandemia, ha evidenziato un mare di problemi attinenti la privacy e le falle di sicurezza.
L’elenco dei difetti riscontrati negli ultimi tempi è davvero considerevole.
– la politica della privacy è stata alquanto scadente, per taluni quasi inesistente, solo il 29 marzo scorso è stata implementata la realativa policy;
– l’applicazione inoltre, utilizzando l’SDK di Facebook, è stata accusata di inviare dati analitici al social network anche qualora l’utente non avesse un account Facebook collegato. In seguito, fortunatamente, pare abbia rimosso tale trasferimento di dati;
– la sua funzione di “tracciamento dell’attenzione dei partecipanti”, che, se abilitata, permette al host di controllare se i partecipanti stiano cliccando lontano dalla finestra principale di Zoom durante una chiamata o stiano leggendo i messaggi di testo privati, è stata giustamente criticata per aver creato uno scenario simile a quello narrato da Orwell in 1984. Solamente il 2 aprile scorso la funzione di monitoraggio dell’attenzione dei partecipanti è stata rimossa in modo permanente;
– era stato riscontrato anche un bug che permetteva l’istallazione su computer iOS senza il consenso finale dell’utente;
– quanto a Windows, è stato scoperto, attraverso una funzione di data mining non rivelata, che Zoom faceva corrispondere automaticamente i nomi e gli indirizzi e-mail degli utenti ai loro profili LinkedIn al momento dell’accesso, anche se gli stessi erano anonimi o utilizzavano pseudonimi; cosicché se un partecipante alla riunione era iscritto al servizio LinkedIn Sales Navigator, poteva accedere ai profili LinkedIn degli altri partecipanti alle riunioni di Zoom senza che essi ne fossero a conoscenza o avessero dato il loro consenso. In risposta, Zoom è intervenuta disabilitando la funzione;
– come riportato dal portale Vice, un’altra falla ha permesso la fuoriuscita di migliaia di indirizzi e-mail e foto personali di utenti che, poiché utilizzatori lo stesso dominio non-standard, la funzione “company directory” li riuniva come se appartenessero tutti alla stessa azienda, permettendo loro, sebbene sconosciuti, di scambiarsi videochiamate;
– sono stati scoperti su internet alcuni software che permettono di trovare riunioni aperte non protette da password, al ritmo di 100 l’ora;
– allo stesso modo una recente inchiesta del Washington Post ha dimostrato quanto fosse facile risalire negli archivi di Amazon alle registrazioni video delle conferenze effettuate, secondo la sintassi standard con cui sono salvati i file. In essi, ovviamente, era possibili accedere a tutti i dati personali di cui gli utenti parlavano o si scambiavano;
– la crittografia end-to-end si è rivelata insussistente dal momento che se si utilizzano i servizi aggiuntivi della piattaforma, come la registrazione o il numero per accedere alla videoconferenza, Zoom mantiene l’accesso alle chiavi di decrittazione;
– in ultimo, ma non per importanza, gli incidenti porno, come quello dello scorso 27 marzo o addirittura le discussioni rintracciate su altre piattaforme social dove gli utenti si organizzavano per campagne di molestie via Zoom. La frequenza e la portata degli incidenti sulla piattaforma ha portato l’ F.B.I. ad emettere un avviso affermando di aver ricevuto numerose segnalazioni di conferenze interrotte da immagini pornografiche o di odio e linguaggio minaccioso a livello nazionale.
La situazione è sotto gli occhi di tutti. Gli sviluppatori hanno già risolto una serie di problemi che sono stati riscontrati dagli esperti di sicurezza nelle ultime due settimane. La società stessa ha reso noto che per i prossimi 3 mesi non verranno rilasciate nuove funzionalità, dedicandosi esclusivamente ad “identificare, affrontare e risolvere i problemi in modo più proattivo”, sintomo del fatto che temono la scoperta di nuove falle.
Sebbene appaia palese quanto il software in questo periodo difficile aiuti le persone specialmente a svolgere il loro lavoro e le lezioni a distanza, bisogna fare i conti con i pericoli che il suo utilizzo comporta. Basterebbe prender coscienza del fatto che la sicurezza di Zoom è probabilmente sufficiente solo per conversazioni occasionali o per tenere eventi sociali, auspicando sempre di optare per l’utilizzo di password di accesso
Qualora si abbia necessità di conversazioni che includano informazioni sensibili, appare più ragionevole ricorrere ad altri servizi più sicuri: oltre alle comuni Skype e Facetime, ci sono Signal e Wire che sono raccomandate addirittura da Edward Snowden, altrimenti c’è Ricochet che attraverso servizi Tor permette videochiamate tra computer, Riot.im che utilizza il protocollo aperto di comunicazione Matrix, o Tox che permette comunicazioni peer-to-peer.
