Ingrandisci, il servizio di videoconferenza che è esploso nel vuoto creato dall'epidemia di COVID-19, ha subito la rivelazione di una serie di falle in materia di privacy e sicurezza negli ultimi giorni. Ora i ricercatori hanno identificato proprio un tale difetto in una funzionalità commercializzata specificamente come un modo per rendere le riunioni più sicure.

Zoom ha dichiarato mercoledì di aver risolto una vulnerabilità con la sua funzione Waiting Room.

La funzione consente agli host della riunione di mantenere gli aspiranti partecipanti in una coda digitale in attesa di approvazione. I professionisti medici potrebbero usarlo per ospitare più appuntamenti di telemedicina di fila, e i responsabili delle assunzioni potrebbero condurre interviste video impilate, la società ha suggerito in un post sul blog di febbraio.

Poiché gli utenti hanno riscontrato problemi con lo "zoombombing", per cui i partecipanti interrompono e fanno deragliare le riunioni, spesso utilizzando immagini offensive o insulti razzisti:l'azienda ha indicato la funzione della sala d'attesa come un modo per proteggersi da questo tipo di intrusione.

Ma i ricercatori di sicurezza che esaminano il client desktop per le vulnerabilità hanno scoperto che i server Zoom inviavano automaticamente dati video in diretta agli utenti nella sala d'attesa della riunione, anche se non sono ancora stati autorizzati a partecipare da chi tiene la riunione. A questi utenti è stata inoltre inviata la chiave di decrittazione della riunione, il codice necessario per sbloccare le comunicazioni sicure. Gli utenti potrebbero ipoteticamente estrarre il video in streaming live, ricercatori hanno detto.

"Se foste moderatamente sofisticati dal punto di vista tecnico, potevi guardare cosa succedeva nella sala d'attesa, "ha detto Bill Marczak, un collega al Citizen Lab e un ricercatore post-dottorato presso l'UC Berkeley che ha scoperto la vulnerabilità. Un flusso audio della chiamata, però, non era accessibile.

Marczak ha detto che lui e John Scott-Railton del Citizen Lab hanno informato Zoom la scorsa settimana. Hanno dettagliato i loro risultati in un rapporto pubblicato mercoledì, dopo aver ricevuto un'e-mail dalla società che informa che il problema è stato risolto.

Di mercoledì, L'amministratore delegato di Zoom Eric Yuan ha menzionato durante un webinar tenutosi per affrontare i problemi di privacy che Zoom aveva risolto un problema con la sua funzione di sala d'attesa.

"Abbiamo aggiornato il nostro server. La vulnerabilità della nostra sala d'attesa è già stata risolta, " Yuan ha detto nel webinar. "Dal lato server, non abbiamo inviato dati audio e video al cliente della sala d'attesa. Però, abbiamo inviato la chiave di sessione ... . Non pensavamo che fosse sicuro, quindi abbiamo cambiato il nostro server."

Il commento di Yuan non era in linea con quello che hanno trovato Marczak e Scott-Railton, scrissero. Il flusso video era precedentemente accessibile, anche se il problema è stato risolto, ha detto Marczak.

Zoom non ha risposto immediatamente a una richiesta di commento su questa discrepanza.

©2020 Los Angeles Times
Distribuito da Tribune Content Agency, LLC.