di PAOLO CAMPANELLI
ROMA – Con la quarantena effettuare videochiamate, è diventata una costante nella vita quotidiana di molti Stati, ed i programmi hanno scoperto una nuova vita. Primo tra tutti, è Zoom, un’applicazione con una delle più ampie compatibilità con computers, tablet, smarphones e devices.
Zoom Video Communications è una società di servizi di teleconferenza con sede a San Jose in California, fondata nel 2011; l’applicazione Zoom è stata rilasciata due anni dopo, nel 2013, ed è cresciuta in maniera stabile e costante a fianco di altre applicazioni “storiche” come Skype.
Zoom ha raggiunto alla fine dello scorso anno 10 milioni di utenze giornaliere; l’essere stata scelto come mezzo principale per lo smart working e la didattica a distanza in tutto il mondo ha portato un incremento di utenze giornaliere con punte di 200 milioni.
Il punto di forza di questa applicazione , rispetto ad altre, è la facilità con cui connette grandi gruppi di persone: dove Skype, solitamente considerata il termine di confronto, ha un tetto massimo di 50 utenti connessi in contemporanea, Zoom riesce ad arrivare a 100 utenti, rendendolo la scelta più adatta per conferenze in video con grandi gruppi, oltre a funzioni di registrazione e aggiungere effetti speciali preparati in precedenza, consentendo di poter programmare incontri in anticipo e promemoria. È possibile anche sottoscrivere dei ” piani” business per poter connettere fino a 1000 utenti in contemporanea
Una parte del successo di Zoom si può ricollegare all’impressione che la società stessa sia “meno subdola” rispetto a Google, Facebook o Microsoft nel trattamento dei dati, ma la realtà è ben differente, benchè l’applicazione di Zoom non sia maligna come tante altre che millantano comunicazione gratuita (specialmente su tablet e smartphone), è stata più volte colpita da contestazioni dovute ad una gestione grossolana della sicurezza: sin dalla sua creazione, il programma è stato accusato di “Digital Hoarding”, cioè di conservare dati dei suoi utenti oltre l’immediata utilità, fra cui indirizzo IP, posizione geografica e specifiche tecniche dei device e della qualità di connessione che condividono un’utenza, direttamente accessibili a impiegati dell’azienda, anche da remoto (ironicamente), e quindi vulnerabili.
A marzo 2020 è stato scoperto, secondo fonti ufficiali dell’azienda, che le funzionalità Facebook (fornite tramite Facebook SDK) aggiungevano un’ulteriore livello di analisi dei dati che venivano convogliati al sistema di analytics di Facebook, ennesima replica di dati di dubbia legalità raccolti dal social, rilevando inoltre che alcune chiamate dai server USA venivano reindirizzate su quelli cinesi, incrementando artificialmente il numero di utenti locali.
Un recente aggiornamento del programma di videoconferenza effettuato lo scorso 2 aprile ha portato alla luce un “buco” nelle funzionalità di connessione automatizzate con profili Linkedin, così permettendo ad alcuni utenti di accedere ai dati di omonimi aggirando completamente i protocolli di sicurezza del sito.
Questi sono solo i più recenti problemi venuti a galla con l’applicazione: già nel 2018 erano stati scoperti dei buchi nella sicurezza che permettevano a terzi di poter interrompere le chiamate e persino di rimuovere utenti; nel 2019 un fallimento dei tester ha portato ad una grande falla nella sicurezza che permetteva ad utenti non autorizzati di introdursi in chiamate, oltre a rendere impossibile disinstallare completamente il programma, continuando nel frattempo a raccogliere dati.
Ma la debolezza intrinseca di Zoom è un’altra, messa alla luce dall’ultimo, pesante attacco hacker: il sistema non ha alcuna difesa contro BruteForce, un software che prova ogni opzione possibile finchè non si ottiene l’accesso, e Credential Stuffing, l’utilizzare la stessa combinazione di mail e password per più servizi online, e questo vale sia per le conferenze, sia per i profili.
Infatti nel primo weekend di aprile, le credenziali di oltre 500.000 utenti sono state messe in vendita sul Dark Web, per meno di un centesimo l’una; altra debolezza del sistema, questa volta dovuto alla necessità di dover modificare le impostazioni dell’utenza direttamente sul sito di Zoom, è l’intrinseca difficoltà del cambiare le impostazioni, questo porta ad avere conferenze accessibili a tutti, e quindi al cosiddetto “Zoombombing”
Lo Zoombombing è quando una persona entra in una conferenza in corso con l’obbiettivo di creare disturbo, solitamente in chat o utilizzando video di dubbio gusto, l’equivalente digitale di una persona che urla sotto le finestre di una scuola. Nella maggior parte dei casi una ragazzata, ma con il grande numero di bambini che utilizzano l’applicazione in questo periodo, il rischio di esposizione non è da sottovalutare.
Per difendersi da tutto ciò , la migliore soluzione è quella di applicare mezzi già presenti: password e autorizzazione manuale da parte dell’host per chi si unisce alle conferenze sono infatti abbastanza per difendersi da chi vuole solo creare fastidio
Il Credential Stuffing è un problema più trasversale, la cui classica difesa è avere password differenti per ogni profilo su internet, o quantomeno per i siti in cui si inseriscono dati importanti come carte di credito, e non utilizzare le funzioni di “acquisto rapido” che inseriscono automaticamente i dati per i pagamenti
