Vai al contenuto
Zoom, videoconferenze troppo facili da attaccare, utenti imprudenti

Zoom, videoconferenze troppo facili da attaccare, utenti imprudenti

Ultimo aggiornamento: 2020/04/19 15:30. 

I tantissimi nuovi utenti di Zoom stanno imparando a proprie spese che questo servizio di videoconferenze ha dei seri problemi di privacy e di sicurezza, come ho già accennato la settimana scorsa, sia per via dei suoi difetti tecnici, sia a causa dell’impreparazione e dell’eccessiva fiducia degli utenti.

Zoom ha dichiarato di essere passata dalla gestione di circa 10 milioni di utenti giornalieri a oltre 200 milioni, di aver risolto una falla di sicurezza che permetteva di rubare le credenziali degli utenti Windows, un’altra che permetteva di prendere il controllo di webcam e microfono di un Mac e di aver smesso di passare dati a Facebook nella versione iOS dell’applicazione. Se usate Zoom, quindi, aggiornate l’applicazione in modo da usare la versione più recente e robusta.

Ma alcuni problemi sono rimasti. Il primo è che le videoconferenze fatte con Zoom non sono completamente cifrate (non è una vera crittografia end-to-end, ma è una crittografia parziale, nonostante le dichiarazioni ambigue della Zoom Video Communications), per cui in teoria l’azienda potrebbe accedere alle comunicazioni dei suoi utenti. Questo rende piuttosto discutibili scelte come quella del primo ministro britannico, Boris Johnson, di tenere una riunione di gabinetto tramite Zoom e oltretutto vantarsene pubblicamente.

Il secondo problema si chiama Zoombombing: incursioni di bande di utenti all’interno di videoconferenze altrui, spesso per origliare oppure per pubblicare materiale osceno o lanciare insulti fino a costringere gli utenti legittimi a interrompere la sessione. Ho assistito in diretta ad alcuni di questi attacchi, e non sono per nulla piacevoli da subire, specialmente se si tratta di un docente che sta facendo lezione e compaiono di colpo video di torture o altre violenze sullo schermo di tutti gli studenti.

Questi vandalismi sono resi possibili dal fatto che ogni videoconferenza fatta con Zoom ha un numero identificativo composto da 9, 10 o 11 cifre, che può essere scoperto facilmente ed è tutto quello che serve per aggiungersi a una sessione se non sono state prese altre misure di protezione.

L’esperto di sicurezza Brian Krebs nota che esistono degli strumenti di wardialing che tentano tutti i numeri identificativi possibili delle sessioni Zoom, e i risultati non sono confortanti: nel giro di un’ora i ricercatori che hanno usato uno di questi strumenti hanno trovano in media 110 sessioni prive di password e quindi attaccabili. Molte appartenevano a banche, società di consulenza internazionali, aziende con contratti governativi e altre società del settore finanziario.

Zoom ha pubblicato una guida dettagliata su come configurare l’applicazione in modo da bloccare questi attacchi, ma al momento è disponibile soltanto in inglese; Aranzulla.it ha una miniguida in italiano.

Se usate un Mac e avete bisogno di partecipare a un incontro tramite Zoom, consiglio di non installare l’applicazione ma di aprire il link al meeting usando Google Chrome e attendere qualche secondo che compaia l’invito “click here to launch the meeting”. Cliccandovi sopra, comparirà la dicitura “If you cannot download or run the application, join from your browser”: cliccate su “join from your browser” e autorizzate l’accesso alla telecamera e al microfono.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
500.000 dollari per una mega-falla di Zoom? Password di Zoom in vendita? Niente panico

500.000 dollari per una mega-falla di Zoom? Password di Zoom in vendita? Niente panico

Avete sentito che qualcuno ha rubato mezzo milione di account e di password di utenti Zoom, li ha messi in vendita e temete problemi? Niente paura. Si tratta di password vecchie, rubate da altri servizi e semplicemente provate dai criminali informatici approfittando della pessima abitudine di molti utenti di usare la stessa password dappertutto.

Il rimedio è semplice: non usate la stessa password dappertutto.

Ben diversa, invece, è la questione delle due falle non ancora corrette che permetterebbero a malintenzionati di prendere il controllo dei computer degli utenti di Zoom (sotto Windows o macOS) e quindi non solo di intercettare le comunicazioni ma anche di rubare dati oppure infettare i computer presi di mira. La falla per Windows sarebbe in vendita nei bassifondi di Internet a ben 500.000 dollari.

Una cifra notevolissima, che difficilmente verrà pagata da una banda criminale ma potrebbe essere accettabile per un governo deciso a spiare un paese rivale, ma che soprattutto fa notizia e ottiene molta visibilità giornalistica. Anche qui, niente panico: si sa già che la falla richiede che l’aggressore stia partecipando a una videoconferenza Zoom con la sua vittima, e questo è uno scenario piuttosto improbabile.

In ogni caso, scaricate gli aggiornamenti delle vostre applicazioni di videoconferenza e controllate chi partecipa alle vostre sessioni.

In realtà gli “attacchi” più frequenti dai quali può capitare di doversi difendere sono di tutt’altro genere: per esempio, gli studenti hanno scoperto che possono sostituire alla propria immagine in diretta un fermo immagine nel quale guardano la telecamera con espressione molto attenta e poi fare tutt’altro mentre ascoltano la lezione. Tanto l’immagine statica si perde fra le tante degli altri studenti. Se siete docenti, quindi, date un’occhiata ogni tanto per vedere se i vostri studenti si muovono o sono insolitamente rigidi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Google e SpaceX vietano Zoom, dobbiamo preoccuparci? No, ma le burle abbondano

Google e SpaceX vietano Zoom, dobbiamo preoccuparci? No, ma le burle abbondano

Google e SpaceX hanno avvisato i propri dipendenti che non dovranno più usare Zoom, l’applicazione per videoconferenze diventata improvvisamente popolarissima, a causa delle sue “vulnerabilità di sicurezza”. Lo stesso hanno fatto la NASA e l’intero stato di Singapore a livello scolastico, e anche altri paesi, come Taiwan e la Germania, hanno imposto restrizioni.

Il problema principale non è la sicurezza informatica in senso stretto, che comunque non è altissima ma sta migliorando in fretta ed è accettabile per riunioni non strettamente confidenziali: è la vulnerabilità ad attacchi fatti da disturbatori, facilitati dalle imprudenze degli utenti.

Infatti lo zoombombing, ossia l’incursione in audio e video di sconosciuti che interferiscono nella sessione, è diffuso, nonostante sia facilmente contrastabile mettendo una password di accesso e adottando la cosiddetta “anticamera” per accogliere i partecipanti. Zoom ha reso ora obbligatorie queste funzioni.

Ma anche così, gli informatici più dispettosi hanno scoperto come farsi scherzi a vicenda, tipo entrare legittimamente in una sessione di videoconferenza e poi dire “Ehi Google, raccontami una barzelletta” (o lo stesso con Alexa o con Siri) per attivare gli assistenti vocali incautamente lasciati attivi durante la sessione. Ricordatevi quindi di spegnere o mettere in “muto” questi dispositivi (compresa la versione su tablet e smartphone) prima di partecipare a incontri in video e di usare le cuffie invece dei sistemi vivavoce.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Zoom, Whereby, Webex: quanto sono sicure le videoconferenze? Non molto

Zoom, Whereby, Webex: quanto sono sicure le videoconferenze? Non molto

Dalla Norvegia arriva la notizia che una scuola ha dovuto interrompere l’uso del servizio di videoconferenza Whereby perché durante una videolezione un uomo si è introdotto digitalmente nella videoconferenza di gruppo e ha avuto l’infelice idea di mostrarsi nudo.

L’intrusione è avvenuta perché l’uomo è stato in grado di indovinare il link pubblico della videolezione.

Il problema non è nuovo ed è noto agli esperti da tempo, ma ovviamente è esploso adesso per via dell’improvviso aumento dell’uso di questi strumenti di comunicazione: a ogni videoconferenza è assegnato un identificativo, un meeting ID, che non è difficile indovinare o trovare per tentativi.

Il rimedio è facile: proteggere la videoconferenza con una password, come indicato nelle istruzioni di configurazione dei vari servizi, come Zoom o Webex.

SamuraiSecurity ha alcuni consigli aggiuntivi, come disabilitare le telefonate o proteggerle con un PIN e attivare l’autenticazione a due fattori, soprattutto per chi è amministratore della videoconferenza. Questo è particolarmente importante per chi registra le sessioni, altrimenti chiunque abbia accesso all’account dell’amministratore può scaricarsi qualunque sessione registrata.

C’è anche un aspetto di privacy non trascurabile specificamente in Zoom: la sua versione per iOS manda informazioni a Facebook anche se l’utente non ha un account Facebook, e questo fatto non è indicato nelle informazioni di privacy di Zoom. Facebook viene a sapere quando l’utente apre l’app, che tipo di dispositivo usa, in che città si trova, quale operatore usa e un identificativo per inviare all’utente pubblicità mirata.

Fonte aggiuntiva: TechCrunch; Vice.com.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.