Rivediamo tutti i problemi di sicurezza e privacy dell’app di videoconferenze più utilizzata durante il lockdown.
Zoom, la famosa app per videochiamate e videoconferenze, è stata uno dei nuovi strumenti più utilizzati in seguito allo scoppio della pandemia di Covid-19. Nel secondo trimestre di quest’anno ha raggiunto un bacino di 300 milioni di utenti al giorno. L’app ha moltissime funzionalità uniche (finora) e utili, come le conferenze con 100 utenti nella versione gratuita e la funzione Zoom Cloud Meeting per organizzare eventi online.
Tuttavia, l’ascesa di Zoom nell’olimpo delle app (ha superato anche TikTok) non è stata tutta rose e fiori: il rapido incremento di utenti e fama ha attirato l’attenzione delle autorità e altri enti pubblici, come l’organizzazione per i diritti digitali Access Now, che ha richiesto a Zoom di pubblicare un rapporto sulla trasparenza in linea con gli standard del settore.
Perché Zoom suscita preoccupazioni? Per i tanti problemi legati a privacy e sicurezza che ha avuto o che sono stati scoperti negli ultimi mesi. In questo articolo li riassumeremo, faremo il punto della situazione su Zoom e sulla sicurezza delle app di videoconferenze.
Perché un rapporto sulla trasparenza?
Si tratta di una prassi consolidata tra le aziende più grandi che raccolgono e utilizzano dati personali. Google e Microsoft, per fare un esempio, pubblicano periodicamente un rapporto in cui descrivono le richieste di divulgazione di dati personali che hanno ricevuto da autorità pubbliche e governi.
Zoom è cresciuta molto velocemente negli ultimi cinque mesi, per cui è normale che non ne avesse ancora implementato uno, ma quando Access Now lo ha fatto presente, l’azienda ha risposto prontamente promettendo di pubblicare il suo primo rapporto sulla trasparenza entro la fine dell’anno.
Tutti contenti? Non proprio. Molti dicono che il rapporto dovrebbe arrivare prima, soprattutto se pensiamo all’incidente che ha attirato le luci dei riflettori su Zoom: a giugno, l’azienda ha bloccato gli account di alcuni utenti che commemoravano la strage di piazza Tiananmen. Indipendentemente dalle considerazioni politiche e morali di ciascuno, la decisione di Zoom ha fatto discutere e i dubbi di molti sono confluiti nella richiesta di Access Now che, oltre a un elenco delle richieste ricevute dai governi, chiede a Zoom di pubblicare le politiche e pratiche che interessano la libertà di espressione, gli utenti e la sicurezza dei dati.
Questo episodio è stato solo la goccia che ha fatto traboccare il vaso dopo una lunga serie di incidenti e situazioni poco chiare, che per alcuni esperti di sicurezza sono semplicemente inaccettabili.
I problemi di sicurezza e privacy di Zoom
Il caso più eclatante è stato senza dubbio quando la rivista Motherboard ha scoperto che Zoom condivideva dati sugli utenti con Facebook. La pratica in sé non ha nulla di nuovo, ma Zoom non la comunicava chiaramente nei termini e condizioni del servizio. Facebook si è detta contrariata ma non responsabile. Zoom ha poi aggiornato la versione iOS (l’unica interessata dal problema) in modo che gli utenti possano accedere con l’account Facebook senza che l’SDK di quest’ultimo raccolga tanti dati sull’utente.
A questo, aggiungiamo le tante altre falle di sicurezza di zoom:
- Meeting aperti a cui poteva accedere chiunque avesse l’ID della riunione (zoom bombing).
- Elenchi di email di partecipanti in chiaro per chi appartiene allo stesso dominio.
- Migliaia di videochiamate registrate ed esposte nel cloud senza password di accesso.
- Falsa affermazione di disporre della crittografia end-to-end, quando invece i dati erano leggibili sui server di transito dell’azienda.
- Invio “per sbaglio” di dati di conversazioni tra utenti nordamericani ai data center in Cina, a cui non dovrebbero potersi connettere.
- Un exploit che permetterebbe il furto delle credenziali di accesso di Windows 10 a causa della comunicazione di hash di password durante la conversione dei percorsi di rete in link cliccabili.
La risposta di Zoom
Il CEO e inventore di Zoom, Eric Yuan, ha reagito prontamente a ognuno di questi scivoloni assicurando che l’azienda ha risolto i problemi, e così è stato a quanto pare. Innanzitutto, il 1° aprile Zoom ha annunciato un’interruzione dello sviluppo di nuove funzionalità della durata di tre mesi. Questa lunga pausa è terminata proprio alla fine del mese scorso e ha dato il tempo all’azienda di concentrarsi sulle questioni di sicurezza e privacy che andavano risolte. Yuan ha promesso che renderà inoltre disponibile la crittografia end-to-end a tutti gli utenti e che molte impostazioni predefinite dell’app verranno modificate in modo da aumentare il livello di riservatezza.
Nell’ottica di questo sforzo risolutivo, Zoom ha anche annunciato la pubblicazione del primo rapporto sulla trasparenza che, come abbiamo detto, dovrebbe arrivare entro la fine dell’anno. In questo rapporto, moltissime aziende ed enti pubblici (tra cui anche agenzie governative come la NASA e i governi stessi di alcuni paesi come il Regno Unito) sperano di trovare notizie rassicuranti, che consentano loro di continuare a utilizzare l’applicazione senza temere per la propria privacy.
Tra le chiamate registrate ed esposte allo zoom-bombing o salvate in chiaro sul cloud c’erano sedute personali di psicoterapia, videochiamate erotiche, riunioni di consigli di amministrazione di grandi imprese, videoconferenze di commissioni parlamentari e governative e così via. I dati confidenziali e potenzialmente a rischio di ricatto o esposizione mediatica sono tantissimi e stupisce che ancora nessun utente (aziendale o privato) abbia denunciato Zoom per il modo in cui ha raccolto, archiviato ed elaborato i dati personali dei suoi utilizzatori.
Zoom è sicura? Ci sono alternative?
Zoom è sicuramente più sicura di prima, ma fino a che punto lo sia, questo non lo sappiamo ancora. Nei prossimi mesi, le stesse organizzazioni che hanno svolto indagini nelle scorse settimane continueranno a studiare in dettaglio il funzionamento di Zoom e delle nuove impostazioni.
Inoltre, l’azienda dovrà pubblicare nuove norme di comportamento e sul trattamento dei dati, che serviranno da quadro di riferimento chiaro e impugnabile anche a livello legale se le cose dovessero nuovamente andare storte.
Certo, i problemi di sicurezza sono stati tanti e piuttosto gravi, ed è normale che tu ti chieda se esistono alternative valide a Zoom. Ebbene, altre app hanno cercato di inserirsi nel mercato, mentre i pesci grossi hanno approfittato del calo della reputazione di Zoom per offrire funzionalità simili a quelle dell’azienda (ad esempio, Skype ora offre un servizio per eventi online che supporta fino a 50 connessioni simultanee).
Tuttavia, scottati dagli scandali di Zoom, anche le app alternative suscitano dubbi sulla sicurezza. Il nostro consiglio di professionisti di cybersicurezza è questo: se sei un privato puoi utilizzare Zoom, ma ricordati di attivare tutte le impostazioni di sicurezza disponibili, sia quelle dell’app sia quelle a livello di sistema e dispositivo.
Ciò comprende l’autenticazione a due fattori, l’utilizzo della crittografia end-to-end quando sarà disponibile e l’uso della nostra VPN e del nostro veloce antivirus. Ma soprattutto, ti consigliamo di fare scorta di buon senso ed evitare il più possibile temi o informazioni riservate come numeri di carta di credito, dati di login, indirizzi email e qualsiasi altro dato che possa identificarti personalmente.
Buona navigazione e buone videochiamate, con o senza Zoom!