Ultimamente passiamo tutti molto più tempo online. Lavoriamo da casa tutto il giorno connessi, parliamo con i colleghi online, telefoniamo e soprattutto facciamo tante videoconferenze. Ma nei giorni scorsi l’argomento è balzato alle cronache perché sono state scoperte molte notizie sulle vulnerabilità di Zoom. Uno dei tool più usati per le videochiamate online. Quest’ultime consentono a diverse persone di riunirsi quasi come se si trattasse di un incontro faccia a faccia.
Ovviamente ci sono tantissime applicazioni che si possono utilizzare: Skype, WebEx, Team, Zoom, Jitsi, WhatsApp, Facetime, Houseparty o Hangouts/Meet. Ma bisogna sapere che tutte le applicazioni presentano vulnerabilità.
Esiste un database chiamato CVE (Common Vulnerabilities and Exposures) in cui vengono pubblicate tutte le vulnerabilità che la comunità dei ricercatori sulla sicurezza scopre piano piano nei prodotti software.
Secondo questo elenco, dal 2016 WebEx ha avuto una vulnerabilità (critica), Skype 6 (1, critica), Zoom 2 (nessuna critica), WhatsApp ne ha avute 8 (metà della moderata criticità) e Jitsi, 1 (non critica).
Queste vulnerabilità sono quelle che i produttori risolvono attraverso patch e aggiornamenti di sicurezza che tutti noi dobbiamo installare sui nostri dispositivi di volta in volta. Sono falle che possono mettere a rischio la riservatezza e l’integrità delle comunicazioni che effettuiamo. Ad esempio, se la crittografia non viene eseguita correttamente, una terza parte potrebbe accedere o persino modificare le nostre conversazioni (eliminando o aggiungendo elementi). Ma le vulnerabilità veramente critiche sono quelle che consentono a terzi di assumere il controllo del nostro computer ed eseguire qualsiasi codice su di esso senza la nostra autorizzazione. E siamo chiari: Zoom non sembra avere nessuno di questi irrisolti al momento.
Ma che dire della privacy?
La maggior parte di queste applicazioni di videochiamata hanno potenzialmente accesso alle nostre comunicazioni personali e professionali, ai dati personali delle persone che si connettono, al nostro microfono e fotocamera, ai nostri file, ecc.
Tendiamo ad essere molto preoccupati per la nostra privacy. Ma di solito sono solo parole, di fatto non badiamo molto alle clausole che accettiamo e ai “contratti” che firmiamo sui nostri prodotti digitali. Se leggiamo attentamente le condizioni d’uso e le politiche sulla privacy che accettiamo, scopriamo che le nostre conversazioni possono essere ascoltate, registrate e condivise con terze parti. Anche i nostri contatti, per esempio.
E in linea di principio, con il nostro consenso.
Molte delle app menzionate, ad esempio Zoom o Houseparty, hanno avuto una cattiva reputazione per le loro politiche sulla privacy che sono state cambiate più volte.
Conclusione: dovremmo smettere di usare queste app? In termini di sicurezza e privacy, di solito non è una buona idea demonizzare un prodotto o una soluzione specifici. Ci sono poche verità assolute e molte sfumature. Probabilmente questi bug improvvisi sono più dovuti al fatto che si sono moltiplicate per 20 il numero di chiamate al giorno.
Infine, quando dobbiamo installare qualsiasi nuova applicazione, facciamolo sempre dal sito ufficiale, che dobbiamo aver raggiunto con i nostri mezzi. Non vale la pena fare clic su un collegamento che abbiamo passato attraverso i social network o che abbiamo trovato su un sito Web. Perché il problema è che, in molti casi, scarichiamo applicazioni da siti dannosi e arrivano con sorpresa sotto forma di malware. Quindi non abbiamo un problema di sicurezza a causa di una vulnerabilità del design, ma piuttosto di una vulnerabilità del social engineering.