Libero
SICUREZZA INFORMATICA

Zoom: bastava un messaggio per hackerare il PC

Altri problemi di sicurezza per Zoom. La piattaforma di videoconferenze aveva alcune falle che avrebbero permesso agli hacker di prendere il controllo del PC

Videochiamata Zoom Fonte foto: Shutterstock

Che l’app di videoconferenza Zoom abbia avuto negli ultimi mesi, insieme ad un enorme successo, anche enormi problemi di sicurezza ce ne eravamo accorti un po’ tutti: negli ultimi novanta giorni le notizie di problemi di privacy e sicurezza su Zoom si sono moltiplicate esponenzialmente.

Anche per questo Zoom è stata costretta ad accelerare moltissimo i suoi piani di sviluppo dell’app per tappare velocemente tutte le falle che venivano fuori. Oggi si scopre che un paio di queste falle avrebbero permesso ad un hacker di prendere il controllo quasi completo del nostro computer con una Gif animata o un semplice messaggio. E, infatti, a fine maggio Zoom ha sospeso momentaneamente la possibilità di condividere Gif animate nelle chat, poi ha corretto il bug e ha infine reintrodotto la funzionalità. Anche l’altra vulnerabilità è stata corretta, con la versione 4.6.12 dell’app.

Poi, a partire dal 30 maggio, per tutti gli utenti è stato necessario passare alla vesione 5.0 dell’applicazione per chiudere ulteriori falle alla sicurezza. Ma cosa abbiamo rischiato in tutti questi mesi usando Zoom?

Zoom: la vulnerabilità CVE-2020-6109

Entrambe le vulnerabilità gravi di Zoom sono state scoperte dai ricercatori di Cisco Talos. La prima è stata ribattezzata CVE-2020-6109 ed è quella relativa all’integrazione con GIPHY, il noto servizio di Gif animate recentemente acquisito da Facebook. I ricercatori hanno scoperto che l’app di Zoom non verificava se una Gif condivisa in una chat veniva caricata dai server di GIPHY o da altri server. Ciò avrebbe consentito a un utente malintenzionato di condividere una Gif animata proveniente da un server pericoloso, con conseguente infezione del computer.

Zoom: la vulnerabilità CVE-2020-6110

La seconda vulnerabilità, chiamata CVE-2020-6110, dipendeva dall’implementazione del protocollo XMPP (Extensible Messaging and Presence Protocol) all’interno dell’app di Zoom. Questo protocollo di messaggistica si basa su XML e, di conseguenza, permette di eseguire del codice sul client della chat. In pratica questa funzione crea un archivio zip dello snippet di codice condiviso, per poi decomprimere automaticamente il file sul computer del destinatario. Secondo i ricercatori, la funzione di estrazione del file zip di Zoom non convalidava il contenuto del file zip prima di estrarlo, consentendo all’aggressore di installare file binari arbitrari su computer target.

Zoom: tutto risolto?

A partire dal 30 maggio Zoom impone a tutti i suoi utenti di installare la versione 5.0 dell’app client, altrimenti è impossibile usare la piattaforma. Le due vulnerabilità scoperte e segnalate da Cisco Talos erano state già risolte qualche giorno prima con la versione 4.6.12, ma con la 5.0 è arrivata una novità importante: la crittografia end-to-end. Questa novità, tuttavia, non è per tutti: solo gli utenti a pagamento avranno la certezza che le proprie chat e videoconferenze verranno crittografate con il sistema AES-256 GCM.