14 Aprile 2020
Zoom continua a far parlare di sé per questioni di privacy: l'app di videochiamate di gruppo, la cui popolarità è schizzata alle stelle nelle ultime settimane causa quarantena. Motherboard ha scoperto che in alcune circostanze gli utenti possono visualizzare i dati personali di perfetti estranei, e nel frattempo sta crescendo il fenomeno del Zoom Bombing - in cui persone non autorizzate riescono a intrufolarsi nelle videoconferenze altrui disturbandole in vari modi.
FUGA DI DATI PERSONALI
La violazione della privacy è causata dalla funzione Company Directory, che permette a un utente di visualizzare le informazioni generiche (nome, cognome, foto, email) di tutti i suoi colleghi. Per farlo, Zoom mostra all'utente tutti i contatti con lo stesso dominio del suo indirizzo email (la parte dopo alla @, per capirci), escludendo però chi possiede mail registrate con domini pubblici, come Gmail.com o Live.com. Il problema sta proprio in questi filtri, che non sembrano essere del tutto completi.
Chi si registra con mail pubbliche poco diffuse - o comunque non filtrate da Zoom - rischia di vedere tutti gli utenti dell'app che usano lo stesso servizio di posta elettronica. Per esempio, un utente ha fornito a Motherboard lo screenshot della sua lista di "colleghi" (in realtà perfetti sconosciuti) che contava quasi 1.000 persone. È stata confermata l'assenza dai filtri di tre domini molto popolari nei Paesi Bassi, come xs4all.nl, dds.nl e quicknet.nl, che si possono paragonare ai nostri fastweb.it o libero.it. Zoom ha detto che i filtri vengono costantemente aggiornati e ha ringraziato per la segnalazione, ma il problema è che intanto la violazione c'è stata.
CIFRATURA END-TO-END
Il sito ufficiale di Zoom dice che tutte le videochiamate di gruppo sono rese sicure dalla cifratura end-to-end, tuttavia un'indagine di The Intercept ha svelato che le cose non stanno proprio così. Il servizio sfrutta la crittografia TLS, la stessa del protocollo HTTPS: in sostanza, vuol dire che i dati sono criptati nel trasporto dai dispositivi degli utenti al server della società, ma sui server sono immagazzinati "in chiaro". Comunemente, con cifratura end-to-end si intende che solo il destinatario del messaggio è in possesso della chiave per decifrarlo e leggerlo.
Contattata per chiarimenti, Zoom ha detto che la sua indicazione non è fuorviante perché considera i server della società come un endpoint. Nella pratica, però, visti i protocolli usati e analizzato il meccanismo di trasferimento dati, il livello di sicurezza è lo stesso offerto da servizi come Gmail o Facebook. Zoom dice che nessuno, dipendenti inclusi, possono accedere ai contenuti prodotti dall'utente, ma non è questo il punto: il punto è che, volendo, o essendo obbligata, quei contenuti potrebbe leggerli. Semplificando enormemente: se un hacker (o un governo) volesse spiare un meeting, con Zoom potrebbe, mentre con servizi basati sull'E2E "vero" no.
La cifratura end-to-end è estremamente difficile da realizzare in una videochiamata di gruppo, e difatti praticamente nessun servizio la offre: se Zoom dice di sì, e invece salta fuori che fa esattamente come tutti gli altri, non solo inganna l'utente, ma danneggia i concorrenti.
ZOOM BOMBING
Il fenomeno di intrufolarsi nelle videoconferenze altrui è diventato talmente diffuso, soprattutto negli USA, da meritarsi il suo neologismo personale... E, quel che è peggio, le attenzioni della procuratrice generale di New York, che sta indagando sulla questione e che ha chiesto alla società di tutelare meglio chi usufruisce del servizio. Anche l'FBI ha pubblicato un comunicato per mettere in guardia gli utenti, e in California è scattata la prima denuncia per la condivisione di dati personali del client iOS con Facebook (ne parliamo nell'ultima sezione).
L'inghippo di fondo è che per default chiunque partecipi può condividere il proprio schermo, il che ha aperto tutto un vaso di Pandora di troll che si connettono per condividere immagini e video inappropriati, pornografiche o di incitamento all'odio. Zoom permette di proteggere i meeting con la password, ma è un passaggio opzionale; e comunque non risolverebbe il problema in caso di meeting pubblici, come quelli organizzati in questi giorni di quarantena da grandi marchi in America che hanno coinvolto anche personaggi famosi dello spettacolo.
Tra l'altro, l'URL dei meeting è una semplice sequenza numerica tra le 9 e le 11 cifre, per cui con un po' di persistenza non è nemmeno impossibile andare a caso finché non si ha fortuna. In Rete si sono organizzati addirittura thread e gruppi privati dedicati alla condivisione di link a meeting Zoom non protetti.
FURTO DELLE CREDENZIALI WINDOWS
Proprio nelle ultime ore è emersa una vulnerabilità tramite la quale un hacker potrebbe rubare i dati di accesso a un computer Windows 10. È correlata agli URL che vengono condivisi nella chat testuale, che vengono convertiti in link cliccabili dall'utente, come è pratica comune. Il problema è che vengono trasformati in link cliccabili anche i percorsi di rete di Windows, tipo \\server\cartella\condivisa. Windows cerca comunque di connettercisi, attraverso il protocollo SMB: nel processo, vengono inviati gli hash di password e nome utente, che possono essere decriptati in pochi secondi usando tool gratuiti facilmente reperibili online.
Hi @zoom_us & @NCSC - here is an example of exploiting the Zoom Windows client using UNC path injection to expose credentials for use in SMBRelay attacks. The screen shot below shows an example UNC path link and the credentials being exposed (redacted). pic.twitter.com/gjWXas7TMO
— Hacker Fantastic (@hackerfantastic) March 31, 2020
La stessa vulnerabilità può essere sfruttata anche per lanciare programmi da remoto, usando 127.0.0.1 (ovvero l'indirizzo della macchina stessa) come indirizzo del server. Per esempio: \\127.0.0.1\C$\windows\system32\calc.exe lancia la calcolatrice (questa stringa funziona anche se la immettete nel prompt Esegui, richiamabile premendo il tasto Windows e R). Almeno Windows mostra prima un prompt di conferma, ma è chiaro che la vulnerabilità va risolta. In attesa di una soluzione ufficiale, è possibile limitare i danni usando l'editor del registro di sistema:
- Lanciare Regedit in modalità amministratore (tasto destro sull'applicazione e scegliere la voce apposita dal menu contestuale)
- Dirigersi su HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
- Creare una chiave DWORD chiamata RestrictSendingNTLMTraffic
- Impostare il valore a 2
- Salvare e chiudere. Il riavvio in teoria non è necessario, ma non si sa mai.
DUE VULNERABILITÀ SU MACOS
Un ex hacker dell'NSA ha scovato due problematiche anche su macOS. La prima riguarda la procedura di installazione: è un fatto noto che Zoom sfrutta un metodo un pochino "losco", usato anche da malware, per completare l'installazione senza interazione da parte dell'utente, eseguendo degli script durante il processo. Un hacker, se è fisicamente presente al computer nel momento dell'installazione, può sostituire quegli script, che vengono copiati in una cartella temporanea non criptata e in ultimo ottenere privilegi di accesso root, compromettendo quindi la sicurezza del dispositivo.
Il secondo riguarda invece l'accesso al microfono e alla webcam. Come succede in tutte le altre applicazioni, le versioni più recenti di macOS chiedono espressamente autorizzazione all'utente prima di concedere accesso a queste risorse, ma è possibile far sì che del codice non autorizzato "finga" di essere Zoom, ereditando quindi tutte le autorizzazioni già concesse al sistema operativo. È quindi teoricamente possibile creare un malware che registra audio e video del proprio Mac senza che l'utente se ne renda conto.
LA RISPOSTA DI ZOOM
Dopo le numerose critiche, Zoom è intervenuta sottolineando quali saranno gli interventi che effettuerà nei prossimi 30 giorni. In primo luogo, ogni risorsa sarà dirottata per risolvere tutti i problemi emersi sul fronte della privacy e della sicurezza. In altri termini, verranno messi in pausa tutti i progetti volti ad integrare nuove funzionalità nel servizio.
Per raggiungere tale obiettivo l'azienda si servirà della collaborazione di esperti esterni e degli utenti, e predisporrà un rapporto sulla trasparenza con informazioni dettagliate sulle richieste di accesso ai dati. In programma c'è anche un programma bug bounty che contribuirà a far emergere ulteriori, eventuali falle nella sicurezza. Zoom ha già iniziato a correggere alcuni dei problemi segnalati nei giorni scorsi:
- sono arrivate ad esempio le correzioni per quelli di macOS (ved. sopra) - e continuerà a farlo nei prossimi giorni
- ieri Zoom ha annunciato che a breve disabiliterà una funzione di data-mining che collega i nomi degli utenti e i loro indirizzi mail ai rispettivi account LinkedIn. Come riporta il NY Times, fino ad ora qualsiasi utente partecipante alla videoconferenza iscritto al servizio LinkedIn Sales Navigator poteva accedere ai profili LinkedIn dei partecipanti semplicemente cliccando sull'icona a fianco dei loro nomi senza alcun permesso. La stessa LinkedIn ha annunciato che sospenderà l'integrazione con Zoom
Sempre nell'ottica di gestire l'attività in maniera trasparente, a partire da mercoledì prossimo terrà ogni settimana un webinar per fornire aggiornamenti sui temi di privacy e sicurezza.
Nei prossimi 90 giorni ci impegniamo a dedicare le risorse necessarie ad identificare, affrontare e risolvere i problemi in maniera proattiva. Ci impegniamo anche ad essere trasparenti durante l'intero processo.
PRECEDENTI
Appena la scorsa settimana, sempre Motherboard aveva scoperto che l'app ufficiale per iOS inviava dati a Facebook senza che gli utenti ne fossero al corrente (non serviva nemmeno un account Facebook attivo, in realtà). Il problema, subito corretto, risiedeva nell'implementazione della funzionalità "Accedi con Facebook": ora è stata modificata per essere meno invasiva. Pochi giorni prima, la EFF aveva criticato la piattaforma perché chi organizza un meeting può visualizzare molte informazioni non essenziali su chi partecipa, tra cui:
- indirizzo IP
- se la finestra di Zoom è o non è in primo piano
- modello del dispositivo usato per la connessione
- posizione
Nota: articolo aggiornato al 3 aprile con i dettagli sul data mining di LinkedIn
Commenti
Si Google ha, diciamo, meno dimestichezza sul settore enterprise/business quindi non gestisce bene il tutto ancora anche se sta migliorando. Zoom si va bene con la qualità video (così mi è stato detto). Però c'è da dire che fa solo quello, ha una mini chat integrata e la possibilità di condividere lo schermo (cosa che praticamente senza scomodare Teams fa adesso anche Skype con la differenza che la qualità del video è a favore del primo). Teams ha centinaia di altre funzioni che Zoom non ha e la qualità rimane al pari di quella di Zoom. Per di più molte aziende (anche se non lo sanno) spesso quando comprano il pacchetto enterprise/business di Office 365 hanno Teams compreso oppure lo possono aggiungere pagando poco di più invece di pagare un altro software.
Ho usato zoom ieri sera, la stabilitá é ottima e la qualitá video é buona (comunque paragonabile a teams). Credo che se la giochino alla pari, Hangouts é collassato quando il decimo compare si é inserito nella discussione, quindi Google come al solito perderá terreno contro i professionisti temo.
Con la differenza che Skype non devi pagare mentre con Zoom si. Infatti Zoom offre un tot di minuti a settimana dopodiché ti lascia chiamare ma per tipo 10 minuti. Chiesto ad amici e altri perché alcuni mi avevano detto di questa cosa. Se invece sei universitario o hai un pacchetto aziendale questo ovviamente non si verifica
Questo discorso è lo stesso che potresti fare nel confronto tra WhatsApp e Telegram. Tutti sanno che il secondo è migliore, ma continuano ad usare il primo. Per qualche motivo la gente in questa quarantena ha iniziato ad usare Zoom, ha visto che tutto sommato funziona benissimo per un uso semplice e basilare e ora non la sposti più.
E secondo te è sufficiente?
Tra il mettere una paginetta di spiegazioni e rispettare la normativa c'è differenza. E a questo io non so rispondere, per questo chiedevo a qualcuno che può essere più esperto di me! Non sei tu ovviamente ...
Tanto inventate che mi sono documentato e ho scritto che è certificato privacy shield (immagino tu sappia cosa sia).
Visto conosci tanto bene Zoom, saprai spiegarmi cosa significa la certificazione "NON-HR"
Poi mi spiegheresti gentilmente cosa ho inventato?
Dunque, la piattaforma è open, no? Stai mettendo in dubbio questo? No, ok. Quindi il software è li alla vista di tutti e siccome è, diciamo, abbastanza diffuso, direi che se ci fossero cose strane con i dati sarebbe di pubblico dominio. Detto questo, quello che scrivi non mi è chiaro perchè non ha nulla a che vedere con quello che ho scritto io. Non so come si paga il server, potrei averne un'idea, ma rimane il fatto che il software è open. Sul sito c'è poi tutto https://desktop punto jitsi punto org/Main/Partners . Ma magari io ingenuo mi son perso qualche complottohh... Ora non risponderò più. arrangiati. Buona vita.
Tu non sai quanto fatturo io dal lunedi al venerdi , senza bisogno di dover lavorare il sabato ? :-D NO.
Sei un mentecatto, e ah, sono anche io nel settore, mentecatto
Ah grazie. Non lo sapevo
E questi comportamenti immagino li abbiano verificati personalmente accendendo ai server Google e verificando l'intero codice sorgente di tutte le sue app e tutti i suoi protocolli di sicurezza giusto? E poi dopo aver fatto questo lavoro e verificata e la scoperta della presenza di questi comportamenti non corretti invece che portare avanti una denuncia pubblica con le prove raccolte si sono limitati a dire a dire ai propri studenti "non usateli...".
Ora i casi sono 2 o stai dicendo una marea di m1nch1ate tu, o peggio se veramente qualche tuo professore ha esordito con affermazioni del genere allora è meglio che cambi università perchè quella che frequenti è di livello infimo...
Più che i no direi che hai finito le str0nzate. Sul quadrante magico di Gartner ci piscio sopra. Sai quante società presenti nel quadrante magico di Gartner sono fallite nel corso degli anni? No.
Sai che lavoro faccio e quali competenze ho per parlare di videoconferenze sia in ambito corporate che nella piccola e media impresa? No.
Sai quanto è pagata un ora del mio lavoro oggi (si, oggi Sabato 4 Aprile, mentre tu ti gratti allegramente lo scroto) per manutenere sistemi di videoconferenza aziendali? No.
Beh, torniamo a fatturare.
Se uno ipotizza che si finanzino con i dati utente e tu obietti che il fatto di essere open source nega questa ipotesi, non esistendo pubblicità o altra forma palese di finanziamento, implicitamente affermi che:
1) Non abbiano bisogno di finanziamenti (impossibile perchè banda e server costano)
2) Che i soldi gli arrivino dal cielo (o dalle cosce della tua badante)
Cosa di quello che ho scritto non ti è chiaro?
Non ho parole. L’email che annunciava che il 5 avrebbero abilitato la password è stata inviata ieri sera, il 3, e oggi che è il 4 è già attiva. Grave disagio per il lavoro! Ma non stanno bene?!!!
Cosa di quello che ho scritto non ti è chiaro?
Ma signori, Teams, Skype, Office365.
Cioè ci sono ancora dubbi?
A ok,infatti mi sembrava strano che mancava questa frase del professionista. Ora possiamo cenare in pace da professionisti
Una soluzione simil whatzapp web in cui fai l'accesso tramite qr code non sarebbe male.
Mio parere personale. Informazioni inviate ad altre piattaforme vedi Facebook senza esplicito consenso, problemi e falle di sicurezza come quelle evidenziate, zoom bombing, tutto da risolvere "a breve" le trovo davvero un'assurdità. Semplicemente indifendibile e bada bene soprattutto per un prodotto corporate! Lo zoom bombing in ambito corporate è altrettanto pericoloso e gravissimo. Per i miei criteri e penso anche per molti altri, non sono dettagli e li ha confermati l'azienda stessa spostando tutto gli sviluppatori per risolvere i problemi entro novanta (!!!) giorni, un'eternità!
si ma risponde a ogni singolo commento...
Certo non pretendo di dire la verità assoluta , ma fidati che dell’argomento di cui parlo ne so parecchio essendo un professionista del settore
Gia.. vedrai che a breve faranno un rimedio , ad esempio imponendo la pw. Il “problema “è che zoom e nato come prodotto corporate ed ora con il problema covid per via delle sue performance e facilità di uso e finita sotto i riflettori e saltano fuori problemi come quello dello zoom bombing . Ma è di facile risoluzione
Sai da chi è stata fondata zoom e da quanti anni esiste ? Direi di no . Dai cosa è un magic quadrant di Gartner e chi va fra i leader ? Direi di no . Sai che non esistono sooo prodotti mainstream come telegram wazzupp e ora teams perché è di Microsoft , ma che a livello corporate esistono una miriade di se e piattaforme sconosciute in ambito privato ? Direi di no . Avendo finito i direi di no , ti auguro una buona serata
Aggiungo che nonostante tutto le direttive dell’ateneo per la teledidattica prevedono di usare Meet lol
Va bene tutto, ma tirare fuori la GSuite come esempio virtuoso mi pare blasfemo. Alla mia università abbiamo sia Office 365 che la GSuite e i docenti di ingegneria informatica e cybersecurity, dopo i loro controlli, hanno chiaramente informato la comunità accademica che qualsiasi comunicazione fatta tramite i servizi offerti da Google (mail, Drive, classroom) non è considerabile “sicura” in quanto hanno constatato comportamenti non corretti in merito all’utilizzo e memorizzazione dei dati da parte di Google (ovviamente non servivano gli esperti di cybersecurity, ma tant’è). Questo in particolare riferito ai progetti di ricerca e nello specifico poi alle informazioni e discussioni su materiale da brevettare. Questo per dire, dubito esistano sistemi veramente sicuri, a livelli più o meno visibili tutti se ne fregano di privacy e proprietà intellettuali
In tutte le riunioni esiste una struttura gerarchica che prescinde dalla tecnologia. Nessuno sano di mente abuserebbe del mezzo davanti al partecipante alfa della situazione (capo, docente, ecc...).
E i server e la banda come li paga, con le cosce della tua badante?
Non dire fesserie e non paragonare la potenza di fuoco di chi sul mercato c'è da secoli e dispone di un miliardo di datacenter ad un frillo arrivato ieri.
Google Hangouts Meet is the answer.
Pare non esserci alcun problema di sicurezza e privacy tanto che la stessa Zoom ha dichiarato che ha spostato tutti gli sviluppatori e che si impegna per i prossimi 90 gg a sistemare tutte le falle... NOVANTA giorni sono un'eternità. Parliamone.
Aspe, il problema dello "zoombombing" c'è.
Nella mia università abbiamo Microsoft Teams e i professori si ostinano ad usare Zoom vai a capire perché
ehm ehm....volkswagen
Skype non è pensato per quello che volevi far tu. È come dire: ho usato FaceTime, ottima la qualità. Ma non ha nessun funzione oltre al video.
Stiamo confrontando un prodotto pensato per base aziendale/universitaria (Zoom) con un prodotto nato per chiamate familiari. Provate alternative, non focalizzatevi solo su una singola app. Se provaste Teams e la suite di Google capireste che son molto meglio. I feedback Microsoft gli ascolta su questi prodotti (ti posso più che assicurare). E ha integrazioni con app di terze parti da far paura.
Figurati se mi metto a offendere uno sconosciuto. Quello che sai non vuole dire che è la verità.
Sicuramente, però Zoom è molto stabile. Ti dico solo che con skype ho fatto fatica a fare una condivisione su schermo con 2 persone (3 in tutto) perché è saltato l'audio almeno 5 volte. Abbiamo dovuto rifare la chiamata un paio di volte perché uno dei tre non aveva una buona connessione. Con Zoom (app che ho conosciuto ora a causa del virus), invece, ho partecipato finora a due o tre riunioni con una sessantina di utenti misti (computer, tablet e smartphone e molti utenti completamente privi di ogni nozione tecnologica) e non è saltato mai il collegamento, anche con alcuni che si vedevano 4 pixel di numero nel riquadro perché la linea evidentemente era ai livelli di una 56k. Audio e video perfetti e ottima anche la gestione dei microfoni e della parte video. Poi per carità, l'app è in inglese, ha vari problemi di sicurezza e alla fine bisogna che almeno uno paghi l'abbonamento per togliere tutti i limiti, però il servizio è buono e se gli sviluppatori avranno il buon senso di ascoltare i feedback degli utenti potrà anche migliorare nei prossimi mesi.
Teams pure ha una qualità ottima. Ma poi dipende come dici tu dalla linea ma anche dalla camera che hanno molti PC. Orsù, non diamo sempre la colpa ai servizi. Ci son certi PC che hanno certe camere scandenti che anche se hai Fibra 1GB e servizio eccellente non possono di certo tirar fuori immagini in 4K ;D
Credo che lo sia, se guardi le sue risposte, suonano di pubblicitá lontano un kilometro.
Parti dal presupposto che chi ha un mac tende a schifare i servizi offerti dalla concorrenza, ecco che zoom assume un altro significato ed ecco che per fare contenti tutti si punta su un servizio terzo...poi dicono che la qualitá audio e video sia eccellente (cosa profondamente opinabile, se uno partecipa alla riunione con adsl 2 Mbit e uno con un pc con webcam VGA voglio vedere questa qualitá ottima).
si vero, hai ragione
Tutto molto simpatico ma "squole" non si puó leggere.
vedila come vuoi , se vuole essere un offesa va bene. dico solo quello che so.
teams c'è gratis a pagamento e varia di features. Fidati che lo so. Una delle cose che variano da account gratuiti a pagamento è lo storage x utente. Ma stai paragonando 2 servizi diversi, che fanno una cosa in comune ovvero le video conferenze. Teams fa piu' cose, zoom è specializzato in video conferrenze, webinar, etc
Guarda che è open source, quindi qualunque operazione con i dati degli utenti è alla luce del sole
Jitsi è open e funziona pure senza scaricare app.
Ti rendi conto che confrontare un piano gratuito con uno a pagamento non ha alcun senso vero?
spero che ti pagano bene
Ma che stai dicendo che teams è gratuito a prescindere perché parlate se non sapete le cose
Si vede che in ambito aziendale non hai mai provato Teams. Poi ne riparliamo.
zoom ha preso piede in ambito aziendale perchè è l'unico che garantisce la possibilità di fare riunioni con qualità audio e video che gli altri si sognano. Se mi parli di meeting a 2-5 persone son buoni tutti .Da provare con 30 40 persone a telecamera accesa poi mi dici. Sono strumenti diversi
ti spiego una cosa: zoom ha il limite di 40 minuti per gli accout gratuiti (fra l'altro ha respo possibile in questo periodo per gli istituti uno sblocco gratuito).
Il teams che usi tu, non è gratuito , ma incluso appunto nell'abbonamento di o365 che MS da a prezzi stracciati a squole e facoltà, per appunto farsi una base di utenti.
Tutto li., Ti assicuro che la qualità di zoom è talmente alta che aziende che hanno o365 scelgono comunque di sottoscrivere zoom.