Zoom doppia criticità. Problemi risolti, ma…

Forse è anche per questo che nel 2021 l’app più utilizzate per le sempre più richieste call, è Teams e non Zoom. Alcuni ricercatori, infatti, hanno scoperto alcune falle nell’applicazione della società di servizi di teleconferenza californiana, che fornisce videoconferenze da remoto, riunioni online, chat e collaborazione mobile.

Queste falle sono preoccupanti per due ordini di motivi. In primis la funzionalità visto che molte video-conferenze da remoto vengono utilizzate per l’ormai celeberrimo smart working. Inoltre questi bug potrebbero aprire la porta ad attacchi hacker.

La maggior parte dei cyber-criminali, infatti, sfrutta un collegamento che induce il malcapitato utente a cliccare su quel link, per iniettare un virus malware, con tutto ciò che ne consegue. Le cosiddette vulnerabilità zero-click vanno, purtroppo, sempre più di moda.

La crittografia end-to-end non è indice di sicurezza

Al riguardo, il team di ricerca Project Zero di Google sta cercando di prevenire il problema, andando a caccia di nuovi esempi sta studiare e risolvere, prima che se ne accorgano i cyber-criminali. Nella lista dei nuovi esempi da studiare è finita proprio Zoom. Che ha evidenziato due vulnerabilità allarmanti.

LEGGI ANCHE >>> Codici QR e sicurezza, l’FBI lancia l’allarme: “possono essere utilizzati per rubare soldi”

La crittografia end-to-end propria di Zoom non è servita, visto che gli hacker avrebbero comunque potuto utilizzare l’accesso per intercettare le chiamate in cui gli utenti non abilitavano tale protezione. Come conferma Natalie Silvanovich.

LEGGI ANCHE >>> Meta annuncia di avere costruito il supercomputer per l’IA più potente al mondo

“Un progetto che ha richiesto mesi prima di risolvere i due problemi” afferma l’esponente del team di ricerca di bug di Project Zero di Google. “Penso che sarebbe disponibile solo per attaccanti molto ben finanziati – continua – ma non sarei sorpreso se questo fosse qualcosa che gli aggressori stanno cercando di fare“. Non solo Zoom, queste due vulnerabilità allarmanti, per fortuna risolte ma che potrebbero tornare, investono altri colossi come Facebook Messenger, Signal, FaceTime di Apple, Google Duo e iMessage di Apple.

Zoom, per suo conto, ha aggiunto così tante notifiche pop-up e altre protezioni nel corso degli anni per garantire che gli utenti non si uniscano involontariamente alle chiamate, ma l’esempio della vulnerabilità a zero clic di Zoom al concorso di hacking Pwn2Own del 2021 ad aprile, è lampante.

Zoom ha corretto il difetto lato server con l’aggiornamento del 24 novembre. “La barriera per fare questa ricerca su Zoom era piuttosto alta – continua l’esponente di Project Zero, sempre su Wired – ma i bug erano seri. A volte mi chiedo se parte del motivo per cui li ho trovati e altri no è quell’enorme barriera all’ingresso”. Silvanovich ha notato che Zoom offre in realtà una piattaforma molto più ampia in cui le persone possono concordare reciprocamente di diventare “Contatti Zoom” e quindi inviare messaggi o chiamarsi a vicenda tramite Zoom nello stesso modo in cui chiamereste o sms al numero di telefono di qualcuno.

Le due vulnerabilità rilevate da Silvanovich possono essere sfruttate per attacchi senza interazione solo quando due account si trovano nei loro contatti Zoom. Ciò significa che gli obiettivi principali di questi attacchi sarebbero le persone che sono utenti Zoom attivi, individualmente o attraverso le loro organizzazioni, e sono abituati a interagire con i Contatti Zoom.

Per il momento il doppio allarme sembra rientrato, ma la situazione resta tutta da monitorare, perché tramite queste criticità, un hacker può prendere il controllo del dispositivo e visualizzare le chiamate in corso, nonostante la crittografia end-to-end. Un problema (doppio) non di poco conto.