Ci possiamo fidare di Zoom adesso?

Da quando è iniziata la pandemia, Zoom ha intrapreso un intenso cammino per migliorare la propria sicurezza. Mentre gli utenti dell'app per videoconferenze sono saliti a centinaia di milioni in poche settimane, i suoi problemi in materia di Cyber Security e le sue vulnerabilità hanno però portato la fiducia nei confronti della piattaforma ai minimi storici. Infatti, per ammissione dello stesso CEO dell’azienda, Zoom era stata travolta dal suo stesso imprevisto successo. Ma Zoom ha risposto nero su bianco alle critiche delineando un piano di 90 giorni, datato 1° aprile, per rendere il servizio più sicuro.

Allo scoccare dei tre mesi dall'annuncio, cosa è veramente cambiato? Non esistono più rischi?

I cambiamenti apportati da Zoom

Come parte del suo piano, Zoom ha detto che avrebbe congelato lo sviluppo di nuove funzionalità per concentrarsi unicamente nella risoluzione di bug e vulnerabilità. A oggi, la piattaforma di videoconferenza, tramite un blog del proprio CEO, ha annunciato di aver implementato 100 nuove misure per mettere in sicurezza il suo servizio. Queste includono funzionalità volte a fermare il fenomeno dello Zoom Bombing, come le Sale d'attesa e password predefinite su tutte le riunioni. 

Lo Zoom-bombing, quella tecnica malevola sfruttata da alcuni troll per “invadere” riunioni private e classi scolastiche al fine di mostrare immagini inquietanti, era sto uno dei problemi principali di Zoom sin dall'inizio, visto che aveva colpito un numero enorme di persone ed era sicuramente molto "d'impatto". Un altro aspetto della sicurezza per il quale Zoom è stato fortemente criticato è stata la mancanza di crittografia end-to-end sulla piattaforma. Anche se a onor del vero molti dei suoi concorrenti allo stesso modo non offrono questo livello di crittografia che, in parole povere, significherebbe che Zoom, e le forze dell'ordine, non possono accedere ai vostri dati e alle vostre chat. Per rispondere a questa critica la piattaforma ha portato a termine l'acquisizione della società di Identity management Keybase. Zoom ha, quindi, aggiunto una migliore crittografia al suo servizio e dopo aver offerto per la prima volta la crittografia end-to-end solo per gli utenti a pagamento, ha messo in programma di rendere questa funzione fruibile per tutti gli utenti.

Tra le altre modifiche apportate da Zoom durante i 90 giorni ci sono un programma di bug bounty potenziato, più penetration test, rafforzamenti del proprio team interno e un appuntamento webinar settimanale per fornire aggiornamenti di sicurezza alla comunità.

Problemi all'orizzonte?

Nonostante il suo nuovo e apprezzabile approccio, continua ad esserci un'attenzione particolare nei confronti della piattaforma da parte dei ricercatori di sicurezza; e questo è tutt'altro che un male. Proprio nella stessa settimana che ha concluso il piano di sicurezza di 90 giorni, un nuovo difetto è stato portato alla luce. Si tratta di una vulnerabilità di esecuzione del codice a distanza "0day" che impatta le versione Windows del software e consente agli aggressori remoti di eseguire il codice dannoso sul computer vittima. La vulnerabilità può essere sfruttata da un aggressore facendo aprire alla vittima un file dannoso, tramite social engineering. Per fortuna la criticità può essere sfruttata solo su Windows 7, mentre le versioni successive non sono interessate. Zoom, dal canto suo ha confermato la vulnerabilità e ha ammesso di stare già lavorando su una patch per risolverlo rapidamente.

C'è ancora del lavoro da fare

Il problema principale di Zoom, che alla fine ha colpito molto duramente, è stato il fatto che non è riuscita a costruire la propria postura di sicurezza fin dall'inizio. E solo dopo critiche feroci ha messo in atto meccanismi per assicurarsi che la sicurezza e la privacy rimangano una priorità in ogni fase dello sviluppo dei suoi prodotti e delle sue caratteristiche. Ma, come dimostra l'ultimo caso, c'è ancora del lavoro da fare. Certo, Zoom è più sicuro di quanto non lo fosse 90 giorni fa, ma possiamo quindi fidarci dei dati delle sue videochiamate?

La risposta alla prima domanda è sì, l'ultimo bug segnalato non è di certo molto impattante considerando che windows 7 ha oramai più di 10 anni e oggi chiunque può vedere che oggi la piattaforma è più protetta. In termini di fiducia, però, dipende sempre per cosa la si utilizza...