Zoom blinda i meeting con la cifratura end-to-end, ma solo per chi paga

Ne beneficeranno aziende ed enti governativi, ma resterebbero esclusi gli account gratuiti. E la decisione potrebbe creare problemi con i regolatori Usa

Zoom è pronta a rafforzare la cifratura delle sue videoconferenze con una soluzione “forte” end-to-end ma riservata alle videochiamate ospitate da clienti abbonati – come aziende e enti governativi – oppure da istituzioni come scuole e ospedali. Sarebbero invece esclusi dalla encryption end-to-end gli utenti che usano account gratuiti.

Il consulente per la sicurezza di Zoom, Alex Stamos (ex chief security officer di Facebook) ha spiegato le strategie dell’azienda sulla messa in sicurezza delle comunicazioni in una telefonata con alcune associazioni americane per le libertà civili e il contrasto agli abusi sessuali sui minori. Stamos ha chiarito che i progetti di Zoom sono ancora in via di definizione e che non è ancora completa la lista di enti che, secondo Zoom, potrà avere diritto alle videoconferenze criptate. Per esempio, l’azienda non ha deciso se ne potranno usufruire proprio le noprofit con cui ha discusso i piani dell’azienda o i dissidenti politici. Zoom sta valutando una serie di fattori tecnologici, di cybersecurity e di business.

L’azienda di videoconferenze ha visto letteralmente esplodere il suo business a causa del lockdown causato dal coronavirus, passando da una media di 10 milioni di utenti unici a dicembre agli oltre 300 milioni di aprile. Al tempo stesso, il boom di utilizzo ha portato alla luce una serie di problemi di sicurezza e privacy.

Indice degli argomenti

Cifratura solo per abbonati e aziende

Zoom è corsa ai ripari e ad aprile ha iniziato il rilascio dell’aggiornamento 5.0 del sistema che permette di introdurre la cifratura end-to-end. Proprio l’assenza di questa funzionalità ha spinto governi come Singapore, enti pubblici come la Nasa e aziende come Google, Apple e SpaceX a vietare l’utilizzo di Zoom nei loro uffici. Con l’aggiornamento i servizi Meeting, Video Webinar e Phone di Zoom saranno compliant con lo standard di cifratura AES 256-bit GCM. Il roll-out, aveva detto allora l’azienda, sarà completato per tutti gli utenti a fine maggio.

Ora Zoom sembra fare un passo indietro. La scorsa settimana l’azienda ha pubblicato un documento tecnico con i suoi piani sull’encryption, senza specificare a quanti e quali utenti verrà applicata.

“Zoom sta cercando di migliorare la protezione dei dati personali e al tempo stesso sta aggiornando notevolmente i propri strumenti per rendere le comunicazioni tutelate dai criminali informatici e aumentare la fiducia dei suoi utenti”, ha affermato Stamos. Il Ceo Eric Yuan “sta valutando diversi aspetti”; il progetto attuale è di fornire la cifratura ai clienti che pagano e agli account aziendali.

I costi dell’encryption

La cifratura end-to-end significa che solo i partecipanti alle videoconferenze e i loro device da cui si collegano possono scambiare dati (sentire e vedere i meeting); chi chiama da una linea telefonica viene escluso e in più il team di Zoom che si occupa di trust e safety non potrebbe unirsi ai partecipanti della videoconferenza per contrastare eventuali abusi in tempo reale, come spiega Reuters dopo aver sentito Stamos.

Dal punto di vista delle strategie di business di Zoom, la cifratura “forte” è un costo importante. È difficile generare ricavi se si offre gratuitamente un servizio sofisticato di cifratura. Facebook sta pensando a una piena cifratura del suo servizio di messaggistica Messenger, ma ha a disposizione i proventi degli altri servizi per finanziare questo costo. Zoom non ha risorse simili a disposizione e quindi deve introdurre un modello a pagamento. Anche altri servizi di comunicazioni cifrate, come l’app di messaggistica istantanea Signal, si fanno pagare dalle aziende.

Nel mirino dei regolatori

Ma c’è un altro “costo” dell’encryption che Zoom dovrà calcolare. Il dipartimento di Giustizia e alcuni membri del Congresso americano non vedono di buon occhio la cifratura forte, che rende molto difficile anche per le autorità e le forze di polizia accedere alle comunicazioni private. Zoom, dicono gli esperti di privacy, potrebbe suscitare l’attenzione dei regolatori.

Nel frattempo la Federal trade commission (Ftc), l’agenzia federale che si occupa di antitrust e difesa dei diritti dei consumatori, sta valutando le accuse contro Zoom su presunte dichiarazioni false in merito alla protezione dei dati personali sulla sua piattaforma.

I cyber-incidenti di Zoom

Il consulente alla sicurezza Stamos è stato assunto da Zoom dopo i cyber-incidenti che hanno messo in dubbio la capacità dell’azienda di proteggere le conversazioni e i meeting sulla sua piattaforma. A inizio aprile Zoom ha ammesso di avere “per errore” fatto passare alcuni dati dei suoi utenti attraverso i suoi due server in Cina, ai quali non avrebbero dovuto connettersi. Ciò si è verificato fin da febbraio a causa del picco di traffico sulla piattaforma che ha portato milioni di utenti a usare la app per riunioni di lavoro ma anche incontri virtuali con gli amici per sopperire all’impossibilità di vedersi di persona visto il distanziamento sociale imposto dal coronavirus. Zoom ha affermato di aver sanato immediatamente la falla software.

Non è stato l’unico passo falso per Zoom: tra i problemi emersi ci sono la condivisione e esposizione non autorizzata di dati, le falle software che permettavano agli utenti di importunarne altri inserendosi in conferenze cui non erano stati invitati (“zoombombing”), dichiarazioni poco chiare sulle misure di cifratura (da cui l’indagine della Ftc). Si è verificato anche un cyber-incidente a Singapore, dove l’applicazione è stata vietata a seguito di un attacco informatico attraverso il quale gli hacker sono riusciti a infiltrare filmati porno all’interno delle videochiamate.

Infine, un gruppo di hacker è riuscito a sottrarre 500mila account di Zoom. Secondo la società di sicurezza informatica Cyble, i criminali hanno avuton accesso alle password, ai collegamenti Url e alle chiavi host di mezzo milione di utenti per poi venderli sui forum del dark web; alcune di queste credenziali hanno permesso lo “zoombombing”.