Da quando è scoppiata la pandemia di coronavirus, la piattaforma è stata scelta per videochiamate di gruppo professionali, private o scolastiche. Negli ultimi tempi però sono emerse anche diverse criticità: ecco cosa sappiamo fino ad ora
La pandemia di Coronavirus ha cambiato la nostra vita e ha rivoluzionato le nostre abitudini. Tra i cambiamenti più radicali ci sono indubbiamente quelli legati al mondo del lavoro. La necessità di restare a casa il più possibile ha infatti promosso lo smart working e l’utilizzo di app per svolgere da casa i compiti che solitamente si effettuano in ufficio. Tra queste ci sono soprattutto le app per videochiamate di gruppo, gettonatissime sia in ambito lavorativo – riunioni virtuali, chiamate di lavoro – che scolastico, ma anche nel privato, per sentire amici e parenti lontani. Una delle più utilizzate è stata Zoom.
L’enorme popolarità guadagnata (comunque inferiore a quanto dichiarato in un primo momento dall’azienda, che aveva parlato di 300 milioni di utenti) non mette però al sicuro da eventuali rischi legati a privacy e sicurezza, emersi infatti in queste settimane. Ovviamente qualsiasi software non è esente da bug e vulnerabilità, ma Zoom ha fatto scalpore perché alcuni problemi legati alla privacy non sembrerebbero essere casuali.
Crittografia, vulnerabilità e altri problemi tecnici
Alcuni problemi sono di natura tecnica, come ad esempio nel caso della crittografia, un sistema di cifratura che rende i messaggi inaccessibili a chiunque non abbia le chiavi, solitamente il mittente e il ricevente, al fine di garantire la privacy. In questi casi si parla di crittografia end-to-end, come avviene ad esempio su WhatsApp. Tuttavia la soluzione di Zoom non è propriamente di questo tipo. Un’inchiesta di The Intercept, infatti, avrebbe dimostrato che le conversazioni sono sì cifrate, ma solo dall’utente al server Zoom. Qui i dati sono, invece, conservati in chiaro e anche se i server sono protetti da occhi esterni indiscreti, i dati sono visibili a chiunque abbia il permesso di accedere ai server. Zoom inoltre utilizza per la crittografia un algoritmo obsoleto, ECB, da lungo tempo sconsigliato dagli esperti di crittografia, perché facile da superare.
Il software inoltre è risultato essere un colabrodo: pieno di falle di sicurezza che magari non erano rilevanti quando Zoom era poco usato, ma che sono divenute critiche ora che ha avuto un’impennata nella popolarità. Un bug, ad esempio, consentiva agli hacker di sottrarre facilmente i dati personali presenti sui computer equipaggiati con Windows 10. Questo problema specifico è stato già risolto velocemente, ma ce ne sono così tanti da aver costretto l’azienda a sospendere lo sviluppo di aggiornamenti funzionali e prendersi 90 giorni di tempo per individuare, analizzare e risolvere tutti i bug.
Nel frattempo però gli utenti restano esposti a rischi di vario tipo, come ad esempio nel caso del cosiddetto Zoombombing, uno dei fenomeni più eclatanti tra quelli emersi di recente attorno a Zoom, in cui videochiamate e chat private possono essere facilmente “invase” dall’esterno da hacker e malintenzionati che possono interagire, solitamente con azioni di disturbo che possono andare dalla visualizzazione di innocui “meme” fino a immagini pornografiche, insulti e oscenità varie.
Il problema può essere attenuato ed evitato stando attenti a utilizzare un Meeting ID, il codice numerico utilizzato per accedere alle chat, sempre diverso, abilitando la waiting room, in modo che non si possa accedere senza il consenso dell’amministratore, disabilitando la condivisione dello schermo e chiudendo la stanza una volta che tutti i partecipanti sono dentro.
Condivisione dati con Facebook, server cinesi e altre scelte ambigue
Se i problemi legati alla presenza di vulnerabilità sono comprensibili, Zoom si è distinta anche per una serie di scelte ambigue e discutibili, che l’azienda ha definito “errori” ma che suscitano comunque perplessità. Un’altra indagine sempre realizzata da The Intercept lo scorso aprile, ad esempio, aveva rivelato come l’azienda avesse condiviso i dati dei propri utenti e persino le chiavi di crittografia delle chat con server cinesi. Dopo le rivelazioni, l’azienda ha posto rimedio a quello che comunque è stato definito un errore. Secondo Zoom infatti i dati erano stati inviati su server cinesi “per sbaglio”.
Ma non è tutto, perché Zoom avrebbe condiviso i dati degli utenti, a loro insaputa, anche con Facebook, azione che ha portato a una class action in corso a causa della mancanza di trasparenza sull’impiego dei dati degli utenti. Infine da un’altra indagine, questa volta del Washington Post, è emerso che un enorme database contenente migliaia di videochiamate registrate che avrebbero dovuto restare private, era invece disponibile online pubblicamente, senza alcuna forma di protezione, neanche elementare come una password. Anche in questo caso, l’azienda ha parlato di un problema tecnico, dovuto a un errore: a causa del modo in cui il software rinomina i file, infatti, la piattaforma cloud su cui Zoom deposita i database li avrebbe resi erroneamente disponibili a tutti.
Ovviamente, come abbiamo già avuto modo di dire, errori umani e falle software dovute a un’errata programmazione non sono caratteristiche esclusive di Zoom, ma comuni a tutti i programmi e le app, a prescindere dal tipo e dallo sviluppatore. Zoom ha, però, evidenziato all’inizio uno scarso livello di sicurezza, dovuto probabilmente a uno sviluppo passato poco attento a certi aspetti. Questo non significa che bisogna assolutamente evitare di utilizzare Zoom, ma di farlo in modo consapevole, consci del fatto che l’azienda sta comunque sistemando tutti i difetti man mano che vengono a galla, compresi quelli che abbiamo qui riportato. Nel frattempo, però, come sempre la miglior linea di difesa è un comportamento consapevole e prudente da parte degli utilizzatori: controllate le impostazioni di sicurezza, seguite le indicazioni fornite ed evitate di registrare le videochat e sarete così già ragionevolmente protetti.