COME VIENE GESTITA LA PRIVACY SU ZOOM ?
COME FARE PER PROTEGGERSI?
L’app di videoconferenza Zoom è un ottimo modo per rimanere in contatto con lavoro, amici e famiglia. Puoi raggruppare tutti in una singola riunione Zoom, con la telecamera di ogni persona che riempie una parte uguale dello schermo. E’ gratuito per riunioni fino a 40minuti, la connessione video è stabile ed è molto facile da utilizzare.
Il numero di utenti Zoom è aumentato rapidamente nei primi mesi del 2020, in risposta alla pandemia di COVID-19 con l’aggiunta di oltre 2 milioni di utenti in 3 mesi, scelta da educatori, aziende e persino governi che utilizzano il servizio per condurre affari, le credenziali di sicurezza di Zoom sono ora più importanti che mai.
Cominciamo con la domanda che tutti ci stanno facendo: Zoom è sicuro da usare?
Sfortunatamente, in molti casi, le pratiche di sicurezza e privacy di Zoom non sono eccezionali. Ecco un breve elenco dei problemi di sicurezza e privacy ad oggi conosciuti:
Le riunioni di Zoom non sono crittografate end-to-end, nonostante Zoom dichiari di utilizzare lo standard di crittografia AES 256. Solo la connessione iniziale al server Zoom porta la crittografia. La conversazione video viene inviata su UDP e non è sicura.
L’app Zoom ha trapelato “almeno alcune migliaia” di indirizzi e-mail a causa del modo in cui tratta gli indirizzi personali. La registrazione al servizio utilizzando un indirizzo email esistente aggiunge l’indirizzo personale a una “Directory aziendale”, consentendo a chiunque abbia lo stesso dominio di chiamare qualcuno nell’elenco. Il problema riguarda gli utenti che si registrano con un dominio di posta elettronica non standard (quindi, non Gmail, Hotmail, Yahoo e così via).
Zoom avrebbe divulgato dati personali a diverse società, tra cui Facebook, in merito all’uso di Zoom da parte dell’utente. L’app Zoom iOS ha inviato notifiche a Facebook relative a profilo utente, dispositivo, gestore di telefonia mobile e altro. Zoom da allora ha corretto questo problema, ma non prima che un utente abbia intentato una causa dinanzi al tribunale federale californiano.
Se un utente non imposta una password abbastanza forte (o nessuna!) Per proteggere la propria riunione di Zoom, i troll sfruttano l’accesso aperto e invadono la conversazione, pubblicando materiale esplicito per adulti o altro in un attacco noto come “Zoombombing”.
Come proteggere la riunione Zoom
Se è necessario utilizzare Zoom, è possibile adottare alcune misure per proteggere meglio la propria privacy e la sicurezza dei propri utenti.
1. Non condividere i dettagli della riunione sui social media
Alla fine di marzo 2020 il primo ministro britannico, Boris Johnson, ha tenuto il “primo gabinetto digitale in assoluto” riunito con Zoom. Boris Johnson ha quindi pubblicato uno screenshot della riunione su Twitter, completo dell’ID riunione Zoom. Naturalmente, centinaia di persone hanno tentato di accedere alla stessa riunione, che fortunatamente aveva anche una password.
È necessario quindi assegnare sempre una password univoca per ogni riunione Zoom (è possibile e consigliamo di usare una password di 10 caratteri contenente lettere maiuscole e minuscole, numeri e simboli).
Ogni utente dovrà inserire la password prima di accedere alla riunione di Zoom, arrestando gli intrusi e i troll di Zoombombing.
2. Utilizzare un ID riunione casuale per ogni riunione
Nella stessa sezione delle password della riunione di Zoom, puoi anche scegliere di utilizzare un ID riunione personale, che rimane costante o di generare un ID riunione casuale.
L’uso di un singolo ID riunione è utile se il tuo gruppo si incontra tutti i giorni. Tuttavia, la randomizzazione dell’ID della riunione crea un ulteriore livello di privacy e sicurezza, poiché l’ID non è mai lo stesso.
3. Disattiva il monitoraggio attenzione
Zoom consente agli organizzatori di riunioni di tenere traccia del focus degli utenti mentre sono connessi alla stessa stanza. L’host può visualizzare un indicatore nell’elenco degli utenti che indica se l’utente ha lo Zoom attivo durante le sessioni di condivisione dello schermo.
Se sei l’host della riunione di Zoom, puoi disattivarlo. Gli utenti di Zoom possono anche disattivare questa impostazione nelle loro impostazioni, impedendo all’host di tracciare la loro attenzione. Tuttavia, se l’host della riunione Zoom impone all’intero gruppo di utilizzare il monitoraggio dell’attenzione, un utente non può ignorare la decisione.
4. Disattiva la registrazione locale.
È possibile disabilitare la funzionalità che permette all’ host ma anche ad ogni partecipante di registrare la riunione in locale o peggio nel cloud Zoom.
Come la funzione di tracciamento dell’attenzione, è possibile modificare le opzioni di registrazione Zoom solo tramite l’app Web Zoom.
5. Rimanere privato durante l’utilizzo delle chat
In linea generale esercitati sulla privacy personale, riduci al minimo i dati personali e riservati. Come ogni altra applicazione web (es. i Social) non si può mai essere sicuri che qualcuno possa “ascoltare” quello che stiamo dicendo.
Mentre siamo più preparati sull’uso, ad esempio, dei Social Media, ne abbiamo una maggiore esperienza e tutti almeno una volta abbiamo letto o sentito parlare di un “furto di informazioni digitale”, applicazioni come Zoom sono nuove per alcuni utenti ma vanno trattate allo stesso modo.
ESISTONO ANCHE DELLE VULNERABILITÀ NOTE:
VULNERABILITÀ WINDOWS
Proprio nelle ultime ore è emersa una vulnerabilità tramite la quale un hacker potrebbe rubare i dati di accesso a un computer Windows 10. È correlata agli URL (indirizzi contenenti link alla rete locale) che vengono condivisi nella chat testuale.
VULNERABILITÀ MACOS
Un ex hacker dell’NSA ha scovato due problematiche anche su macOS. La prima riguarda la procedura di installazione: è un fatto noto che Zoom sfrutta un metodo un pochino “losco”, usato anche da malware, per completare l’installazione senza interazione da parte dell’utente, eseguendo degli script durante il processo.
Il secondo riguarda invece l’accesso al microfono e alla webcam. Come succede in tutte le altre applicazioni, le versioni più recenti di macOS chiedono espressamente autorizzazione all’utente prima di concedere accesso a queste risorse, ma è possibile far sì che del codice non autorizzato “finga” di essere Zoom, ereditando quindi tutte le autorizzazioni già concesse al sistema operativo. È quindi teoricamente possibile creare un malware che registra audio e video del proprio Mac senza che l’utente se ne renda conto
LA RISPOSTA DI ZOOM
Dopo le numerose critiche, Zoom è intervenuta sottolineando quali saranno gli interventi che effettuerà nei prossimi 30 giorni. In primo luogo, ogni risorsa sarà dirottata per risolvere tutti i problemi emersi sul fronte della privacy e della sicurezza. In altri termini, verranno messi in pausa tutti i progetti volti ad integrare nuove funzionalità nel servizio.
Per raggiungere tale obiettivo l’azienda si servirà della collaborazione di esperti esterni e degli utenti, e predisporrà un rapporto sulla trasparenza con informazioni dettagliate sulle richieste di accesso ai dati. In programma c’è anche un programma bug bounty che contribuirà a far emergere ulteriori, eventuali falle nella sicurezza.
