02/04/2020 di Redazione

Crittografia imperfetta e credenziali a rischio, altri guai per Zoom

L’applicazione di videochat, già chiacchierata per i recenti hackeraggi, non assicura crittografia end-to-end come invece dichiarato. Si è scoperta, inoltre, una vulnerabilità relativa alle chat.

immagine.jpg

Nuove polemiche su Zoom, dopo le incursioni hacker dei giorni scorsi e la notizia di un’indagine avviata dal procuratore generale di New York per far luce sulle procedure di sicurezza della piattaforma di videochat. Peraltro questi sono solo gli ultimi problemi in senso cronologico, e non i peggiori: la settimana scorsa il sito Motherboard aveva denunciato un irregolare trasferimento di dati di analytics dall’applicazione iOS di Zoom a Facebook. Un errore non doloso, dovuto a una parte del codice Sdk fornito da Facebook agli sviluppatori di app terze (Zoom prevede la possibilità di login tramite social network). La questione è stata risolta dal punto di vista tecnico, senza che peraltro siano stati condivisi all’esterno dati personali degli utenti: così ha assicurato il Ceo di Zoom, Eric S.Yuan. Ma la questione non è risolta del tutto, considerando la class action per violazione di privacy avviata in California contro Zoom e ora affidata a un tribunale di San Jose.

Nel frattempo per l’azienda è arrivata altra pubblicità negativa. I giornalisti del sito The Intercept hanno scoperto che l’applicazione di Zoom non prevede una vera e propria crittografia end-to-end delle videoconferenze, al contrario di quanto dichiarato tra le caratteristiche elencate sul sito Web dell’azienda. 

Interpellata dai giornalisti, Zoom ha ammesso di utilizzare la tecnologia Tls (Transport Layer Security), protocollo crittografico che protegge la connessione tra l’utente e il server di un servizio Web, ma che lascia a quest’ultimo la possibilità teorica di osservare i dati, in questo caso dati audio e video. Non si tratta, dunque, di una crittografia end-to-end come quella di Whatsapp, per intenderci, con la quale si garantisce che solo il mittente e il destinatario di un messaggio, chiamata o videochiamata possano vedere i dati in chiaro.

A far piovere sul bagnato, ai limiti quasi dell’accanimento forse, c’è poi la segnalazione di una vulnerabilità che permetterebbe all’autore di un attacco di sottrarre le credenziali Windows di un utente collegato in chat. Il problema, segnalato da BleepingComputer e opera di un ricercatore di sicurezza identificato come @_g0dmode, riguarda il modo in cui all’interno della chat vengono gestiti i link condivisi. Quando si copia nella finestra della conversazione un collegamento, esso viene convertito in un link ipertestuale cliccabile, come da prassi. 

Tuttavia il client di Zoom tratta allo stesso modo anche gli indirizzi Unc (Universal Naming Convention) usati dai sistemi Windows, che quindi diventano collegamenti cliccabili. Questo fatto attiva una serie di passaggi che, come spiegato da BleepingComputer, permettono a un eventuale malintenzionato di ottenere lo username e l’hash della password del sistema Windows collegato alla chat; la password può poi essere facilmente portata in chiaro utilizzando strumenti reperibili online, come Hashcat. Allertata del problema, Zoom presumibilmente si adopererà per il rilascio di una patch. Nel frattempo, per evitare il rischio di un furto di credenziali è possibile selezionare l’opzione “nega tutto” all’interno delle Impostazioni di Sicurezza Locali di Windows.

ARTICOLI CORRELATI