In questo periodo di lavoro a distanza l’app Zoom ha avuto un’impennata di iscrizioni: le prestazioni sono migliori di quelle di Skype e offre più possibilità rispetto a Whatsapp. Un’importante falla però mette a rischio le password Windows degli utenti, che si scontrano anche con un nuovo indesiderato fenomeno: lo Zoom-bombing
In questo periodo di lavoro a distanza l’app Zoom è diventata moto popolare tra gli utenti, facendo impennare vertiginosamente le iscrizioni, questo perchè le prestazioni sono migliori di quelle di altre applicazione, anche più famose, come Skype, e offre decisamente più possibilità rispetto ad altre, come ad esempio Whatsapp. Un’importante falla però mette a rischio le password degli utenti, che devono anche fronteggiare un nuovo indesiderato fenomeno: lo Zoom-bombing.
È recentissima infatti la notizia di due importanti falle scoperte sia nella versione dell’app per Mac, sia in quella per Windows.
La prima è stata riportata da Patrick Wardle, un ex hacker della NSA, questo bug consentirebbe agli hacker di accedere al microfono e alla videocamera di un Mac e di registrarne addirittura lo schermo, senza la richiesta di permessi da parte dell’utente.
L’app infatti ha “una specifica “esclusione” che consente di iniettare codice dannoso nel suo spazio di processo, in cui tale codice può impedire l’accesso di Zoom (microfono e videocamera)! Ciò fornisce un modo per registrare riunioni Zoom o, peggio ancora, accedere al microfono e alla videocamera in momenti arbitrari (senza la richiesta di accesso dell’utente)!”, dice Wardle.
La seconda falla è un po’ più complessa e consentirebbe agli hacker di rubare le credenziali di accesso a Windows di potenziali vittime.
Zoom ha un’impostazione client predefinita che converte tutti gli url scambiati nei messaggi di chat in collegamenti ipertestuali cliccabili (come avviene in molte altre applicazioni), questo rende molto semplice per gli utenti aprire i vari link.
Un ricercatore indipendente (@_g0dmode), ha scoperto però che non solo gli url vengono convertiti in link ipertestuali ma anche i percorsi di rete UNC (Universal Naming Convention). Questi percorsi sono, in sintesi, i percorsi dei file contenuti nelle cartelle Windows: mettiamo che vogliamo linkare il percorso del file “immagine.jpg”, contenuta nel nostro pc, in questo caso l’unc sarà, ad esempio, \\PC\Cartella1\Cartella2\immagine.jpg.
Nel momento in cui inviamo questo percorso su Zoom e il ricevente ci clicca sopra, viene effettuato un tentativo di connessione all’host remoto mediante il protocollo SMB per soddisfare la richiesta di apertura del file “immagine.jpg”.
Windows invia quindi al server lo username con cui l’utente effettua il login al sistema e l’hash della password utilizzando la suite di protocolli di sicurezza di Microsoft NTLM.
Qualora il server remoto però fosse attaccato da un hacker, questo potrebbe essere in grado di decifrare la password dell’utente, anche attraverso dei tool gratuiti come Hashcat, specializzati in recupero di password cifrate.
Questa falla è particolarmente importante poichè alcuni percorsi UNC potrebbero potenzialmente permettere di accedere a qualunque file nell’hard disk. Ci tranquillizza in parte il fatto che Windows richieda sempre all’utente l’autorizzazione prima di eseguire qualsiasi programma.
Al momento Zoom non ha ancora corretto questa vulnerabilità, tuttavia per mitigare il rischio è possibile, innanzitutto, non condividere questo tipo di percorsi (per quanto possano essere utili, specie nelle call di lavoro) e poi configurare Windows in modo da bloccare l’invio automatico delle credenziali NTLM a server remoti quando si accede ad una condivisione di rete.
Questo è possibile farlo, su Windows 10, utilizzando l’editor dei Criteri di gruppo per accedere al percorso Pannello di controllo/Modifica Criteri di gruppo/Impostazioni di Windows/Impostazioni sicurezza/Criteri locali/Opzioni di sicurezza e modificare il criterio Sicurezza di rete: limitazione di NTLM: traffico NTLM in uscita verso server remoti impostandola su Rifiuta tutto.
Come se i problemi di Zoom non fossero sufficienti, la piattaforma è diventata scenario di un altro deprecabile fenomeno: lo Zoom-bombing.
Questa pratica consiste nell’inserirsi in riunioni alle quali non si era stati invitati, al fine di creare confusione, insultando, spiando le conversazioni altrui, registrandole senza permesso o addirittura incitando all’odio e alla violenza.
Ma come è possibile che chiunque entri nelle nostre conversazioni?
Zoom consente all’host di condividere con gli altri partecipanti l’url della riunione (che è anche molto banale, dato che è una sequenza di numeri da 9 a 11 cifre) che spesso può essere pubblico (come ad esempi quello di molte lezioni online). In questo modo chiunque può intromettersi e creare scompiglio.
Inizialmente lo Zoom-bombing era nato come semplice scherzo di cattivo gusto in cui un gruppo di persone poco organizzate si intrometteva in determinate call, per fare scherzi ai partecipanti.
Il fenomeno si è però ingigantito, passando all’invio di materiale pornografico e razzista, rendendo necessario anche l’intervento dell’FBI, che ha diramato un comunicato di avvertimento, in consiglia di limitare le impostazioni di condivisione dello schermo, di evitare di promuovere le riunioni sui social media e di impostare una password alle proprie call (spuntando la casella Require meeting password), in questo modo l’host attiva una sorta di “sala di attesa” in cui gli ospiti sono fermi, impossibilitati ad entrare, se non espressamente approvati.
Un altro aspetto da approfondire è la cifratura end-to-end dichiarata sul sito. Zoom sostiene infatti che tutte le chiamate sono criptate con questa tecnologia (la stessa di Whatsapp e Telegram), tuttavia The Intercept ha raccontato che non è proprio così: pare infatti che sui server i dati siano salvati in chiaro. Per Zoom i server sembrano essere infatti punti di arrivo a cui nessuno (ufficialmente) può accedere, non esiste quindi il classico passaggio di chiavi tra destinatario e mittente, tipico della tecnologia end-to-end.
Per quanto il CEO di Zoom Eric Yuan si dica dispiaciuto di non essere all’altezza delle aspettative a livello di privacy degli utenti, ricordiamo che la sicurezza non deve mai essere messa in secondo piano, anche in un momento di emergenza come questo.