Zoom e i problemi per la privacy e la sicurezza fino ad ora emersi

Immagine via Pixabay

Nelle ultime settimane, a causa della pandemia da COVID-19, ci si trova costretti ad usare sempre più spesso strumenti digitali per lavoro, didattica o semplicemente per poter restare in contatto con i nostri cari.
A farla da padrone ci sono i servizi di videoconferenza fra quali spicca Zoom, una applicazione di videoconferenza sviluppata dall'omonima società, con sede a San Jose in California, fondata da Eric Yuan, ex manager prima di WebEx e poi di Cisco Systems.
La rapida diffusione di questo software e la sua diffusione in ambito aziendale ha attratto molti esperti di sicurezza che si sono messi ad analizzare il software.

I primi problemi di privacy

Chi sviluppa software lo sa, i bug sono sempre dietro l'angolo e con essi la possibilità di esporre gli utenti a rischi connessi alla sicurezza.
I primi problemi connessi alla privacy per Zoom risalgono a novembre 2018 quando fu scoperta una vulnerabilità di sicurezza (CVE-2018-15715) che consentiva a un utente malintenzionato remoto non autenticato di falsificare i messaggi UDP da un partecipante alla riunione o dal server Zoom al fine di invocare la funzionalità nel client di destinazione. Questa vulnerabilità consentiva ad un ipotetico hacker di rimuovere i partecipanti dalle riunioni, falsificare i messaggi dagli utenti o dirottare schermate condivise. 

Successivamente, nel luglio 2019, il ricercatore di sicurezza Jonathan Leitschuh rivelò una vulnerabilità zero-day che consentiva a qualsiasi sito Web di unire forzatamente un utente macOS a una chiamata Zoom, con la videocamera attivata, senza il permesso dell'utente. Inoltre, i tentativi di disinstallare il client Zoom su macOS richiedevano al software di reinstallarsi automaticamente in background, utilizzando un server Web nascosto che è stato impostato sulla macchina durante la prima installazione che rimaneva attivo anche dopo aver tentato di rimuovere il client. Dopo aver ricevuto critiche pubbliche, Zoom ha aggiornato il software per rimuovere la vulnerabilità e il server Web nascosto, consentendo la disinstallazione completa.

I problemi odierni con Facebook

Lo scorso 26 marzo 2020 su Motherboard, la sezione tecnologica del sito Vice, ha scoperto che l'applicazione Zoom per iPhone e iPad inviava dati a Facebook anche se non si disponeva di un account Facebook
Zoom utilizza l'API Graph di Facebook tramite la quale notifica a Facebook quando un utente apre l'applicazione, i dettagli del dispositivo dell'utente, il fuso orario, la città dalla quale si connette, il gestore telefonico utilizzato e un identificatore univoco dell'inserzionista creato dal dispositivo dell'utente, dati che le aziende possono utilizzare per fornire ad un utenti annunci pubblicitari.

Will Strafach, un ricercatore iOS e fondatore dell'app per iOS incentrata sulla privacy Guardian ha confermato i risultati di Motherboard secondo cui l'applicazione Zoom ha inviato dati a Facebook.
A seguito dell'inchiesta Zoom ha provveduto a rimuovere questa funzionalità dalla sua applicazione.

Zoom usa una crittografia TLS per le video chiamate di gruppo e non una end-to-end

Ma non finisce qui. Il 31 marzo 2020, a seguito di una inchiesta di The Intercept, è emerso che le chiamate di gruppo non sono criptate con un sistema di criptazione end-to-end ma tramite TLS 1.2, ovvero la stessa tecnologia usata per proteggere la navigazione sui siti web HTTPS.
Cosa significa? Be, significa che quando effettuiamo una meeting utilizzando Zoom, i contenuti audio video saranno protetti da chiunque cerchi di spiare la nostra connessione, ma non saranno privati all'azienda che, di fatto, ha la capacità tecnica di spiare riunioni video private oltre che poter esser costretto a consegnare eventuali registrazioni delle riunioni a governi o forze dell'ordine a seguito di richieste legali.
Ovviamente Zoom ha dichiarato che non accede direttamente o vende i dati degli utenti.
L'unica funzione di Zoom crittografata end-to-end è la chat di testo nella riunione.

Zoom e il bug che ti aggiunge altri contatti pensando di fare cosa gradita

E siccome i problemi sono sempre in agguato, sempre Motherboard, lo scorso 1 aprile 2020 (e non è un pesce d'aprile) ha scoperto che, per via di una impostazione di Zoom che serve ad aggiungere automaticamente altre persone agli elenchi di contatto di un utente se queste si sono registrate con un indirizzo e-mail che ha lo stesso dominio, migliaia di utenti si sono visti riuniti insieme nello stesso gruppo, come se lavorassero per la stessa azienda, condividendo informazioni personali come nomi, immagini e indirizzi di posta.

Video privati esposti (ma la colpa è degli utenti non attenti alla privacy)

Un altro spiacevole inconveniente riguarda la privacy di migliaia di video personali registrati con Zoom visualizzabili liberamente sul Web. A segnalare il tutto il 3 aprile 2020 è stato The Washington Post.

I video di Zoom non vengono registrati per impostazione predefinita, chi ospita le riunioni può scegliere di registrare le video chiamate di gruppo e salvarle sui server Zoom o sui propri computer senza il consenso dei partecipanti. Zoom integra una funzionalità che mostra una notifica quando una video chiamata viene registrata ma questo non impedisce che l'ospitante possa condividere online, su server non privati, tali video contenenti dati sensibili.
Zoom salva ogni registrazione con lo stesso nome. The Washington Post ha scoperto che, utilizzando un semplice motore di ricerca, conoscendo la query adeguata, è possibile trovare online video registrazioni lasciate dagli utenti su server non protetti da password.

The Fra i video troviamo registrazioni sensibili per la privacy degli utenti (sessioni di terapia psicologica) compresi nomi e numeri di telefono, riunioni di piccole imprese che includevano dati sui bilanci, video relativi a classi delle scuole elementari in cui sono esposti, volti, voci e altri dettagli personali dei bambini.

Alcune chiamate sono state instradate in Cina per errore

I ricercatori di sicurezza dal Citizen Lab dell'Università di Toronto hanno fatto una curiosa scoperta. Durante una riunione di test fra due utenti tramite Zoom, uno risiedente negli Stati Uniti ed uno in Canada, hanno scoperto che la chiave di AES-128 utilizzata per la crittografia e decrittografia della conferenza veniva inviata ad uno dei partecipanti tramite TSL da un server Zoom situato in Cina. Una scansione ha mostrato un totale di cinque server in Cina.

La società che sviluppa Zoom ha risposto sul suo blog ufficiale al Citizen Lab spiegando il perché di questo comportamento.
Durante le normali operazioni i client Zoom tentano di connettersi ad una serie di datacenter primari all'interno o in prossimità della regione di un utente e se questi tentativi di connessione multipli falliscono a causa della congestione della rete o di altri problemi, i client raggiungeranno due datacenter secondari che possono trovarsi in regioni limitrofe.

I sistemi di Zoom sono progettati per mantenere la geo-recinzione in Cina sia per i datacenter primari che secondari, garantendo che gli utenti al di fuori della Cina non possano instradare i dati delle riunioni attraverso i datacenter della Cina continentale (di proprietà di Telstra un importante fornitore di comunicazioni australiano, nonché di Amazon Web Services).

Tuttavia, a febbraio, Zoom ha rapidamente aggiunto capacità alla nostra regione cinese per gestire un massiccio aumento della domanda. Per via della fretta, hanno erroneamente aggiunto due datacenter cinesi a una lunga lista bianca di bridge di backup, consentendo potenzialmente ai client non cinesi di connettersi a loro quando i server primari non cinesi non erano disponibili. Questa modifica alla configurazione è stata apportata a febbraio.

Dopo aver appreso della segnalazione del  Citizen Lab, Zoom ha immediatamente rimosso i datacenter della Cina continentale dalla lista bianca dei bridge di backup secondari per gli utenti al di fuori della Cina.

Oltre 500.000 account Zoom venduti sul dark web

Stando a quanto dichiarato da Cyble (una società di intelligence che si occupa di sicurezza informatica) ai colleghi di BleepingComputer, oltre 500.000 account Zoom vengono attualmente venduti sul dark weeb e sui forum di hacker a poco meno di un centesimo di dollaro ciascuno e, in alcuni casi, ceduti gratuitamente.

Cyble ha iniziato a notare la vendita di questi account a partire dal 1 Aprile 2020 e, dopo aver contattato indirizzi e-mail casuali esposti in questi elenchi e aver avuto la conferma che alcune delle credenziali erano corrette, ha provveduto ad acquistare in blocco di circa 530.000 credenziali di Zoom a $ 0,0020 per account.

Gli account acquistati includono l'indirizzo e-mail, la password, l'URL della riunione personale e l'HostKey della vittima.
Fra i dati recuperati ci sono account di aziende famose come Chase, Citibank e svariati istituti scolastici.

Per maggiori informazioni BleepingComputer - Over 500,000 Zoom accounts sold on hacker forums, the dark web

Questi post potrebbero interessarti

disqus

Licenza

Licenza Creative Commons
Quest'opera è distribuita con Licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 4.0 Internazionale. Questo blog non rappresenta una testata giornalistica, in quanto viene aggiornato senza alcuna periodicità. Non può, pertanto, considerarsi un prodotto editoriale, ai sensi della legge n. 62 del 7/03/2001.

Disclaimer immagini Le immagini utilizzate in questo blog appartengono ai loro rispettivi autori e sono utilizzati per scopi educativi, personali e senza scopo di lucro. Ogni eventuale violazione del copyright non è intenzionale, ma se si riconosce un'immagine protetta da copyright, fatemelo sapere qui, e sarò lieto di aggiungere i credits o modificarla o rimuoverla.

Disclaimer images Images used on this blog belong to their respective authors and are used for educational, personal and no profit purposes. Any eventual copyright infringement is not intentional, but if you recognize a copyrighted image, please let me know here, and I'll happily provide to add the right credits or modify or remove it.