SecurityOpenLab

Zoom: due nuove falle e crittografia end-to-end solo a chi paga

I ricercatori di Cisco Talos hanno scoperto due nuove falle in Zoom che sono state parzialmente corrette. Intanto monta la polemica sulla privacy per la decisione di adottare la crittografia end-to-end solo per le versioni a pagamento dell'app.

La sicurezza di Zoom è messa di nuovo in discussione da due nuove falle. Sono state individuate dai ricercatori di Cisco Talos e potrebbero consentire agli aggressori di eseguire codice arbitrario sui computer degli utenti. Avvisata dei problemi, Zoom ha parzialmente risolto le vulnerabilità con il supporto degli esperti di Talos.

La prima delle falle è stata soprannominata TALOS-2020-1056 (CVE-2020-6110) e riguarda la versione 4.6.10 e 4.6.11 del client di Zoom. Ricordiamo a tal riguardo che è stata pubblicata da diverse settimane la versione 5.0, che è scaricabile gratuitamente. Agisce sulla funzione di estrazione dei file ZIP. In sintesi, Zoom non esegue la convalida del contenuto del file ZIP prima di estrarlo.

La conseguenza, spiegano i ricercatori, è che "in caso di un frammento di codice condiviso, Zoom procederà a decomprimere automaticamente il file ZIP scaricato per visualizzarne l'anteprima". Prima della patch, gli aggressori avrebbero potuto inviare un messaggio ad hoc a singoli utenti o gruppi per attivare la vulnerabilità.
taloz falla di zoomI cyber criminali avrebbero potuto così spedire file dannosi senza bisogno di alcuna interazione da parte dell'utente. Se poi quest'ultimo avesse cliccato sul contenuto, avrebbe dato modo ai criminali di inviare ulteriori file dannosi.

La seconda falla è la TALOS-2020-1055 e riguarda il lato server. Si riferisce sempre al modo in cui il client di Zoom elabora i messaggi. In questo caso però riguarda le GIF animate. La correzione richiederà un aggiornamento lato client per mitigare del tutto i rischi.

La versione interessata di Zoom è la 4.6.10 e anche questa falla potrebbe essere usata per eseguire codice arbitrario. Gli esperti di Talos scrivono sul blog che "un messaggio in chat appositamente creato può causare la scrittura arbitraria di file, che a sua volta potrebbe consentire l'esecuzione arbitraria di codice. Per sfruttare questa vulnerabilità l'attaccante dovrebbe inviare un messaggio in chat a un utente o a un gruppo".

La questione della crittografia end-to-end

Negli ultimi giorni è tornata alla ribalta la questione della crittografia end-to-end. Per intenderci, è quella che ha permesso lo zoombombing, ossia l'intercettazione delle coversazioni e, in alcuni casi, il furto di password. La soluzione sarebbe appunto la crittografiaend-to-end.
zoom imageTuttavia il fondatore di Zoom, Eric S. Yuan, ha dichiarato che l'azienda fornirà la crittografia end-to-end solo per le versioni a pagamento dell'app. In pratica, tutti coloro che useranno la versione gratuita non beneficeranno di elevati standard di privacy e sicurezza.

Stando alle dichiarazioni ufficiali, il motivo di questa decisione è di lasciare agio alle forze dell'ordine di poter intercettare le comunicazioni dei clienti nel caso in cui commettano dei crimini. Gli utenti [che usano Zoom gratuitamente] non beneficeranno della crittografia end-to-end perché "vogliamo lavorare con l'FBI e con le forze dell'ordine locali nel caso in cui alcune persone usino Zoom per scopi illeciti" ha dichiarato Yuan.

Un argomento scottante che vede coinvolte da una parte la privacy, dall'altra l'ordine pubblico. Ricordiamo che aziende quali per esempio Apple hanno deciso di dare la priorità alla privacy degli utenti senza condizioni, guadagnando un ampio consenso popolare. Adottano la crittografia end-to-end anche Skype, Cisco WebEx, Microsoft Teams, WhatsApp, Messenger, e molti altri.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 04/06/2020

Tag: cyber security privacy falla zoom crittografia


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore