Nuovo bug di Zoom: sicurezza a rischio se condividi lo schermo
Una società di cybersicurezza tedesca scopre un bug nelle app di Zoom per Windows e Linux, ma la piattaforma ritiene che non ci sia alcun rischio per gli utenti, come stanno le cose.
I ricercatori dell’azienda di cybersicurezza tedesca SySS hanno scoperto un grave bug di sicurezza in Zoom, una delle piattaforme di videoconferenza più usate al mondo. Il bug è molto specifico: si manifesta solo sulle app per Windows e Linux e solo quando viene attivata la condivisione dello schermo. Tuttavia le conseguenze di questo bug potrebbero essere abbastanza gravi, motivo che ha spinto i ricercatori a rendere noto questo problema dopo aver aspettato, inutilmente, che Zoom lo correggesse.
Cosa che Zoom non ha fatto molto probabilmente perché il problema si manifesta in occasioni molto particolari e per sfruttarlo a scopi illeciti è necessario conoscerlo ed è fondamentale che il malintenzionato stia registrando lo schermo durante la sessione di videoconferenza o la videochiamata uno ad uno. Una coincidenza di eventi, quindi, che Zoom ritiene poco probabile se il problema non diventa noto al grande pubblico. Ora, però, il problema lo conoscono tutti e tutti lo possono sfruttare a proprio vantaggio. Per questo è giusto stare molto attenti quando si usa Zoom, in attesa che arrivi la soluzione definitiva con una patch di correzione. Ecco come funziona il bug di Zoom e in quali particolari occasioni dobbiamo stare attenti.
Bug Zoom: quando si verifica
Il bug scoperto dai ricercatori di SySS si manifesta quando stiamo condividendo lo schermo. Su Zoom è possibile scegliere se condividere tutto lo schermo, solo una finestra o solo una porzione dello schermo. Se scegliamo di condividere solo una finestra può sorgere il problema: qualora venga aperta una app in background proprio sotto la finestra che stiamo condividendo su Zoom, infatti, per qualche frazione di secondo tale nuova finestra sarà visibile a tutti gli utenti collegati nella stessa riunione.
Si tratta di un tempo brevissimo (pochissime frazioni di secondo) non sufficiente per leggere ad occhio nudo le informazioni contenute nella finestra che è apparsa e scomparsa così velocemente. Ma se qualcuno sta registrando la riunione le cose cambiano: nella registrazione finale ci saranno pochi (ma fondamentali) fotogrammi che mostrano la finestra aperta sullo sfondo e tutto il suo contenuto.
Contenuto che, naturalmente, potrebbe essere di tutto: dalla nostra casella email al browser, passando per l’accesso al nostro conto corrente online. Dal punto di vista tecnico, infatti, non cambia nulla: qualunque cosa venga aperta verrà visualizzata e condivisa con tutti, seppur per brevissimo tempo.
Zoom non risponde
Dagli esperimenti fatti da SySS il bug si presenta solo con le versioni 5.4.3 e 5.5.4 di Zoom per Windows e Linux, mentre su macOS e da mobile no. SySS ha comunicato a Zoom l’esistenza di questa vulnerabilità di sicurezza già a dicembre, senza però ottenere alcuna risposta. Per questo motivo la società tedesca ha deciso di rendere noto a tutti il bug, una scelta fatta spesso dalle aziende e dai ricercatori quando non ottengono risposta sui bug scoperti, al fine di fare pressione sugli sviluppatori.
Una scelta in larga parte condivisibile, visto che da qualche tempo è possibile condividere una riunione di Zoom su YouTube e questo moltiplica il numero di persone che potrebbero accedere ai dati riservati di chi trasmette il proprio schermo.
Zoom, come tutte le grandi piattaforme Web del mondo, ha infatti un “bounty program” che prevede ricompense in denaro per chi scopre delle vulnerabilità di sicurezza e non le rende pubbliche fino a quando non vengono risolte. Questa volta, però, Zoom ha ritenuto il bug scoperto da SySS non sufficientemente grave da meritare una ricompensa. Forse ora cambierà idea.
