Da settimane al vertice di tutte le classifiche di download per quanto riguarda le applicazioni, Zoom è anche al centro da giorni di rivelazioni e problemi di sicurezza un po’ su ogni fronte, dalla privacy all’hate speech fino alla condivisione dei dati con siti terzi. Le alternative sono molte ma senza dubbio la completezza di funzionalità dell’app per videoconferenze statunitense rende complicato sostituirla. Anche in virtù del fatto che offre videocall fino a 100 partecipanti nella versione gratuita – ma Skype ha appena lanciato una feature, Meet Now, che può arrivare fino a 50 ospiti.
Uno dei problemi più pesanti è quello noto come «zoom bombing», cioè le intromissioni di utenti estranei all’interno delle videoconferenze. Una pratica segnalata in più occasioni, perfino durante la discussione di tesi di laurea, che avviene quando i meeting non sono protetti da password, che è un passaggio opzionale e che comunque non risolverebbe il problema in caso di incontri pubblici e aperti. Il punto è che qualsiasi partecipante può, di default, condividere lo schermo del suo pc o del dispositivo che sta usando, disturbando tutti gli altri con contenuti di vario tipo, di hate speech o pornografici. Sul punto è stata perfino aperta un’inchiesta dalla procura di New York e l’Fbi ha pubblicato un vademecum in merito nel quale consiglia di limitare le impostazioni di condivisione dello schermo, proteggere appunto con password tutte le riunioni ed evitare di promuoverle sui social media. A cui bisognerebbe aggiungere quella di non utilizzare l’identificativo personale (Pmi) per organizzare le riunioni. Fra l’altro, l’url dei meeting è una banale sequenza numerica compresa fra 9 e 11 cifre. Motivo per cui, andando per tentativi, si può provare a infilarsi in una qualsiasi conferenza.
Secondo aspetto: la cifratura end-to-end. Il sito ufficiale di Zoom sosteneva che le videochiamate fossero criptate con questa tecnologia più sicura. In realtà un’indagine di The Intercept ha svelato che non è del tutto così visto che sui server quei dati sono memorizzati in chiaro. Al contrario, nella logica end-to-end solo i dispositivi dei destinatari posseggono le chiavi per decifrare e visualizzare i contenuti. Per Zoom – che ha raggiunto il picco di 200 milioni di utenti mensili dai dieci della fine dello scorso anno – i server sono invece dei punti di arrivo a cui nessuno può accedere: una considerazione piuttosto sui generis della cifratura end-to-end.
Altro problema: il Washington Post ha spiegato come migliaia di videocall registrate con Zoom siano state esposte pubblicamente sul web a causa del sistema con cui la piattaforma nomina i file creati e li parcheggia sul proprio cloud, che non chiede alcuna password per l’accesso. In quelle registrazioni c’era ovviamente di tutto: dalle sessioni di psicologia e terapia alle lezioni scolastiche fino ai consulti col medico. Portandosi dietro tutti i dati contenuti in quelle chiacchierate, dai nomi ai bilanci delle società, dai voti alle informazioni eventualmente condivise. E perfino dei nudi. A proposito: uno degli organizzatori può decidere di registrare quanto accade anche senza l’assenso degli altri partecipanti, che vengono solo avvisati.
Sono in effetti giorni molto difficili per la piattaforma, che ha quindi deciso di sospendere per 90 giorni il rilascio di ogni novità per concentrarsi sulle numerose falle individuate negli ultimi tempi, in pieni isolamento da coronavirus. Per esempio, la società ha ammesso di aver inviato per sbaglio i dati e le conversazioni di alcuni utenti nordamericani verso i suoi due server collocati in Cina, «dove non avrebbero dovuto essere in grado di connettersi». Lo hanno scoperto i ricercatori del Citizen Lab dell’università di Toronto secondo i quali certe chiamate effettuate in Nord America sono state instradate verso la Cina insieme alla relative chiavi di cifratura. Problema risolto, assicura il gruppo, come uno dei primi a esplodere. Quello della condivisione con Facebook, da parte dell’app per iOS, di una grande quantità di dati, anche nel caso di utenti non forniti di un account sul social di Menlo Park. Sul punto scatterà una class action, visto che gli utenti non ne erano a conoscenza.
Nei giorni scorsi si sono inoltre registrati bug e problemi di altro tipo sulla piattaforma fondata nel dall’ex ingegnere di Cisco Eric Yuan. Per esempio una vulnerabilità tramite la quale un hacker potrebbe sottrarre i dati di accesso a un pc Windows 10, e lo si deve alla trasformazione dei percorsi di rete nel sistema operativo in link cliccabili: nel tentativo di accesso trasmettono hash di password e nome utente della macchina facilmente decrittabili con strumenti gratuiti. Oppure su Mac, dove potrebbero esserci problemi con programmi che si spaccino per Zoom accedendo a videocamera o microfono.
Con una serie di comunicazioni Yuan ha garantito che impegnerà ogni risorsa possibile nella risoluzione di tutti i problemi sui fronti privacy e sicurezza. Facendosi anche aiutare da esperti esterni e iniziando a rendicontare le richieste di accesso ai dati in un rapporto sulla trasparenza. Non solo: chiederà aiuto agli utenti più esperti con un programma cosiddetto di «bug bounty» per scovare falle e problemi che dovessero ancora emergere.
