Zoom continua a far parlare di sé per questioni di privacy!

L’app di videochiamate di gruppo, la cui popolarità è schizzata alle stelle nelle ultime settimane causa quarantena. Motherboard ha scoperto che in alcune circostanze gli utenti possono visualizzare i dati personali di perfetti estranei, e nel frattempo sta crescendo il fenomeno del Zoom Bombing – in cui persone non autorizzate riescono a intrufolarsi nelle videoconferenze altrui disturbandole in vari modi.

 

VIOLAZIONE DEI DATI PERSONALI

La violazione della privacy è causata dalla funzione Company Directory, che permette a un utente di visualizzare le informazioni generiche (nome, cognome, foto, email) di tutti i suoi colleghi. Per farlo, Zoom mostra all’utente tutti i contatti con lo stesso dominio del suo indirizzo email (la parte dopo alla @, per capirci), escludendo però chi possiede mail registrate con domini pubblici, come Gmail.com o Live.com. Il problema sta proprio in questi filtri, che non sembrano essere del tutto completi.

Chi si registra con mail pubbliche poco diffuse – o comunque non filtrate da Zoom – rischia di vedere tutti gli utenti dell’app che usano lo stesso servizio di posta elettronica. Per esempio, un utente ha fornito a Motherboard lo screenshot della sua lista di “colleghi” (in realtà perfetti sconosciuti) che contava quasi 1.000 persone. È stata confermata l’assenza dai filtri di tre domini molto popolari nei Paesi Bassi, come xs4all.nl, dds.nl e quicknet.nl, che si possono paragonare ai nostri fastweb.it o libero.it. Zoom ha detto che i filtri vengono costantemente aggiornati e ha ringraziato per la segnalazione, ma il problema è che intanto la violazione c’è stata.

 

CIFRATURA DEI DATI

Il sito ufficiale di Zoom dice che tutte le videochiamate di gruppo sono rese sicure dalla cifratura end-to-end, tuttavia un’indagine di The Intercept ha svelato che le cose non stanno proprio così. Il servizio sfrutta la crittografia TLS, la stessa del protocollo HTTPS: in sostanza, vuol dire che i dati sono criptati nel trasporto dai dispositivi degli utenti al server della società, ma sui server sono immagazzinati “in chiaro”. Comunemente, con cifratura end-to-end si intende che solo il destinatario del messaggio è in possesso della chiave per decifrarlo e leggerlo.

 

ZOOM BOMBING

Contattata per chiarimenti, Zoom ha detto che la sua indicazione non è fuorviante perché considera i server della società come un endpoint. Nella pratica, però, visti i protocolli usati e analizzato il meccanismo di trasferimento dati, il livello di sicurezza è lo stesso offerto da servizi come Gmail o Facebook. Zoom dice che nessuno, dipendenti inclusi, possono accedere ai contenuti prodotti dall’utente, ma non è questo il punto: il punto è che, volendo, o essendo obbligata, quei contenuti potrebbe leggerli. Semplificando enormemente: se un hacker (o un governo) volesse spiare un meeting, con Zoom potrebbe, mentre con servizi basati sull’E2E “vero” no.

La cifratura end-to-end è estremamente difficile da realizzare in una videochiamata di gruppo, e difatti praticamente nessun servizio la offre: se Zoom dice di sì, e invece salta fuori che fa esattamente come tutti gli altri, non solo inganna l’utente, ma danneggia i concorrenti.

 

LE CREDENZIALI DI WINDOWS

Proprio nelle ultime ore è emersa una vulnerabilità tramite la quale un hacker potrebbe rubare i dati di accesso a un computer Windows 10. È correlata agli URL che vengono condivisi nella chat testuale, che vengono convertiti in link cliccabili dall’utente, come è pratica comune. Il problema è che vengono trasformati in link cliccabili anche i percorsi di rete di Windows, tipo \\server\cartella\condivisa. Windows cerca comunque di connettercisi, attraverso il protocollo SMB: nel processo, vengono inviati gli hash di password e nome utente, che possono essere decriptati in pochi secondi usando tool gratuiti facilmente reperibili online.

La stessa vulnerabilità può essere sfruttata anche per lanciare programmi da remoto, usando 127.0.0.1 (ovvero l’indirizzo della macchina stessa) come indirizzo del server. Per esempio: \\127.0.0.1\C$\windows\system32\calc.exe lancia la calcolatrice (questa stringa funziona anche se la immettete nel prompt Esegui, richiamabile premendo il tasto Windows e R). Almeno Windows mostra prima un prompt di conferma, ma è chiaro che la vulnerabilità va risolta. In attesa di una soluzione ufficiale, è possibile limitare i danni usando l’editor del registro di sistema:

  • Lanciare Regedit in modalità amministratore (tasto destro sull’applicazione e scegliere la voce apposita dal menu contestuale)
  • Dirigersi su HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
  • Creare una chiave DWORD chiamata RestrictSendingNTLMTraffic
  • Impostare il valore a 2
  • Salvare e chiudere. Il riavvio in teoria non è necessario, ma non si sa mai.

 

CRITICITÀ SU MACOS

Un ex hacker dell’NSA ha scovato due problematiche anche su macOS. La prima riguarda la procedura di installazione: è un fatto noto che Zoom sfrutta un metodo un pochino “losco”, usato anche da malware, per completare l’installazione senza interazione da parte dell’utente, eseguendo degli script durante il processo. Un hacker, se è fisicamente presente al computer nel momento dell’installazione, può sostituire quegli script, che vengono copiati in una cartella temporanea non criptata e in ultimo ottenere privilegi di accesso root, compromettendo quindi la sicurezza del dispositivo.

Il secondo riguarda invece l’accesso al microfono e alla webcam. Come succede in tutte le altre applicazioni, le versioni più recenti di macOS chiedono espressamente autorizzazione all’utente prima di concedere accesso a queste risorse, ma è possibile far sì che del codice non autorizzato “finga” di essere Zoom, ereditando quindi tutte le autorizzazioni già concesse al sistema operativo. È quindi teoricamente possibile creare un malware che registra audio e video del proprio Mac senza che l’utente se ne renda conto.

 

LA RISPOSTA DI ZOOM

Dopo le numerose critiche, Zoom è intervenuta sottolineando quali saranno gli interventi che effettuerà nei prossimi 30 giorni. In primo luogo, ogni risorsa sarà dirottata per risolvere tutti i problemi emersi sul fronte della privacy e della sicurezza. In altri termini, verranno messi in pausa tutti i progetti volti ad integrare nuove funzionalità nel servizio.

Per raggiungere tale obiettivo l’azienda si servirà della collaborazione di esperti esterni e degli utenti, e predisporrà un rapporto sulla trasparenza con informazioni dettagliate sulle richieste di accesso ai dati. In programma c’è anche un programma bug bounty che contribuirà a far emergere ulteriori, eventuali falle nella sicurezza. Zoom ha già iniziato a correggere alcuni dei problemi segnalati nei giorni scorsi:

  • sono arrivate ad esempio le correzioni per quelli di macOS (ved. sopra) – e continuerà a farlo nei prossimi giorni
  • ieri Zoom ha annunciato che a breve disabiliterà una funzione di data-mining che collega i nomi degli utenti e i loro indirizzi mail ai rispettivi account LinkedIn. Come riporta il NY Times, fino ad ora qualsiasi utente partecipante alla videoconferenza iscritto al servizio LinkedIn Sales Navigator poteva accedere ai profili LinkedIn dei partecipanti semplicemente cliccando sull’icona a fianco dei loro nomi senza alcun permesso. La stessa LinkedIn ha annunciato che sospenderà l’integrazione con Zoom

Sempre nell’ottica di gestire l’attività in maniera trasparente, a partire da mercoledì prossimo terrà ogni settimana un webinar per fornire aggiornamenti sui temi di privacy e sicurezza.

Nei prossimi 90 giorni ci impegniamo a dedicare le risorse necessarie ad identificare, affrontare e risolvere i problemi in maniera proattiva. Ci impegniamo anche ad essere trasparenti durante l’intero processo.

Appena la scorsa settimana, sempre Motherboard aveva scoperto che l’app ufficiale per iOS inviava dati a Facebook senza che gli utenti ne fossero al corrente (non serviva nemmeno un account Facebook attivo, in realtà). Il problema, subito corretto, risiedeva nell’implementazione della funzionalità “Accedi con Facebook”: ora è stata modificata per essere meno invasiva. Pochi giorni prima, la EFF aveva criticato la piattaforma perché chi organizza un meeting può visualizzare molte informazioni non essenziali su chi partecipa, tra cui:

  • indirizzo IP
  • se la finestra di Zoom è o non è in primo piano
  • modello del dispositivo usato per la connessione
  • posizione

fonte: hdblog

PARLA CON UN NOSTRO CONSULENTE

Richiedi un incontro gratuito anche via web!

Un nostro esperto sarà a tua disposizione per travere la giusta soluzione alle tue esigenze in termini di Sicuerezza Informatica, Networking ed Analisi dei costi ICT per la tua aziena.