Zoom: due nuove falle e crittografia end-to-end solo a chi paga

I ricercatori di Cisco Talos hanno scoperto due nuove falle in Zoom che sono state parzialmente corrette. Intanto monta la polemica sulla privacy per la decisione di adottare la crittografia end-to-end solo per le versioni a pagamento dell'app.

Business Consumer Vulnerabilità
La sicurezza di Zoom è messa di nuovo in discussione da due nuove falle. Sono state individuate dai ricercatori di Cisco Talos e potrebbero consentire agli aggressori di eseguire codice arbitrario sui computer degli utenti. Avvisata dei problemi, Zoom ha parzialmente risolto le vulnerabilità con il supporto degli esperti di Talos.

La prima delle falle è stata soprannominata TALOS-2020-1056 (CVE-2020-6110) e riguarda la versione 4.6.10 e 4.6.11 del client di Zoom. Ricordiamo a tal riguardo che è stata pubblicata da diverse settimane la versione 5.0, che è scaricabile gratuitamente. Agisce sulla funzione di estrazione dei file ZIP. In sintesi, Zoom non esegue la convalida del contenuto del file ZIP prima di estrarlo.

La conseguenza, spiegano i ricercatori, è che "in caso di un frammento di codice condiviso, Zoom procederà a decomprimere automaticamente il file ZIP scaricato per visualizzarne l'anteprima". Prima della patch, gli aggressori avrebbero potuto inviare un messaggio ad hoc a singoli utenti o gruppi per attivare la vulnerabilità.
taloz falla di zoomI cyber criminali avrebbero potuto così spedire file dannosi senza bisogno di alcuna interazione da parte dell'utente. Se poi quest'ultimo avesse cliccato sul contenuto, avrebbe dato modo ai criminali di inviare ulteriori file dannosi.

La seconda falla è la TALOS-2020-1055 e riguarda il lato server. Si riferisce sempre al modo in cui il client di Zoom elabora i messaggi. In questo caso però riguarda le GIF animate. La correzione richiederà un aggiornamento lato client per mitigare del tutto i rischi.

La versione interessata di Zoom è la 4.6.10 e anche questa falla potrebbe essere usata per eseguire codice arbitrario. Gli esperti di Talos scrivono sul blog che "un messaggio in chat appositamente creato può causare la scrittura arbitraria di file, che a sua volta potrebbe consentire l'esecuzione arbitraria di codice. Per sfruttare questa vulnerabilità l'attaccante dovrebbe inviare un messaggio in chat a un utente o a un gruppo".

La questione della crittografia end-to-end

Negli ultimi giorni è tornata alla ribalta la questione della crittografia end-to-end. Per intenderci, è quella che ha permesso lo zoombombing, ossia l'intercettazione delle coversazioni e, in alcuni casi, il furto di password. La soluzione sarebbe appunto la crittografiaend-to-end.
zoom imageTuttavia il fondatore di Zoom, Eric S. Yuan, ha dichiarato che l'azienda fornirà la crittografia end-to-end solo per le versioni a pagamento dell'app. In pratica, tutti coloro che useranno la versione gratuita non beneficeranno di elevati standard di privacy e sicurezza.

Stando alle dichiarazioni ufficiali, il motivo di questa decisione è di lasciare agio alle forze dell'ordine di poter intercettare le comunicazioni dei clienti nel caso in cui commettano dei crimini. Gli utenti [che usano Zoom gratuitamente] non beneficeranno della crittografia end-to-end perché "vogliamo lavorare con l'FBI e con le forze dell'ordine locali nel caso in cui alcune persone usino Zoom per scopi illeciti" ha dichiarato Yuan.

Un argomento scottante che vede coinvolte da una parte la privacy, dall'altra l'ordine pubblico. Ricordiamo che aziende quali per esempio Apple hanno deciso di dare la priorità alla privacy degli utenti senza condizioni, guadagnando un ampio consenso popolare. Adottano la crittografia end-to-end anche Skype, Cisco WebEx, Microsoft Teams, WhatsApp, Messenger, e molti altri.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori