Zoom ha messo a rischio la privacy e i dati degli suoi utenti, con una vulnerabilità software che consentiva attacchi di remote code execution, in cui potenziali hacker avrebbero potuto prendere il controllo di un Pc. Si parla al condizionale e al passato perché il problema è stato risolto dall’azienda titolare del servizio con un aggiornamento via server, ma la notizia di un bug scoperto all’interno di Zoom è comunque significativa se si pensa ai problemi di sicurezza e privacy già emersi nel 2020 per questa piattaforma, esplosa in popolarità grazie alle esigenze di lavoro e di didattica a distanza..
Tale scoperta si deve a un contest organizzato dalla Zero Day Initiative, cioè all’ultima edizione della popolare competizione fra esperti di codice software Pwn2Own. Due ricercatori di Computest, Daan Keuper e Thijs Alkemade, si sono aggiudicati un premio da 200.000 dollari per aver scovato all’interno di Zoom una falla che permetteva di prendere controllo del sistema target, senza che l’utente dovesse compiere alcuna azione se non quella di collegarsi a una stanza in cui è in corso una videochat. Nell’hackeraggio dimostrativo è stato possibile aprire sul sistema target un’applicazione a caso (quella della calcolatrice), ma un vero malintenzionato avrebbe potuto eseguire azioni ben più dannose, come l’attivazione della webcam o del registratore.
I ricercatori hanno dimostrato la fattibilità di questo attacco sul client di Zoom installato su Pc Windows e macOS, mentre il tentativo non funzionava sulle videochat eseguite tramite browser, né con le funzionalità di meeting e di webinar previste dalla piattaforma. Ai fini della fattibilità, inoltre, era necessario che l’attacco provenisse da un contatto esterno accettato dall’utente oppure da un contatto interno (parte di un gruppo o di un’azienda). Le applicazioni mobili per Android e iOS non sono state testate.
Riconoscendo il problema, la società sviluppatrice ha ringraziato i ricercatori e ha risolto la falla con un aggiornamento. “Come best practice, Zoom raccomanda che tutti gli utenti accettano solamente richieste di contatto provenienti da persone che conoscono e di cui si fidano”, ha aggiunto l’azienda. Zoom ha anche specificato che non si segnalano attacchi di remote code execution eseguiti sfruttando questa vulnerabilità.