Sono emerse vulnerabilità nelle videoconferenze di Zoom
Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, ha scoperto che un hacker avrebbe potuto intrufolarsi ai meeting online di Zoom e ascoltare le riunioni. Il problema di vulnerabilità sorgeva se l’organizzatore non aveva abilitato l’opzione “Richiedi password per il meeting” o non aveva abilitato l’attesa, “Waiting Room” – che consente l’ammissione manuale dei partecipanti. In questo caso, quindi, le cifre che compongono iI Meeting ID di Zoom erano l’unica cosa che garantiva la sicurezza della riunione, quindi erano l’unico elemento che impediva ad una persona non autorizzata di collegarsi al meeting.
Zoom, è un’azienda leader nella moderna enterprise video communication, la sua piattaforma cloud per videoconferenze e audioconferenze, networking, chat e webinar per dispositivi mobile, desktop e telefoni, è utilizzata con successo in tutto il mondo per sale conferenze, corsi di formazione, negli uffici esecutivi e dei board aziendali. Si tratta di un soluzione comoda, ma non sempre questo è sinonimo di sicurezza, infatti qualcuno potrebbe accedere alle riunioni dell’azienda, scoprendo dettagli segreti.
I ricercatori di Check Point sono stati in grado di prevedere circa il 4% dei meeting ID generati in modo casuale, il che è indice dell’alta probabilità di successo che avrebbero potuto avere gli hacker
malintenzionati. Lo scorso luglio, Check Point ha informato Zoom di questa vulnerabilità, proponendo diverse correzioni per attenuare il problema. Tra le diverse soluzioni vi sono la re-implementazione dell’algoritmo di generazione dei Meeting ID, la sostituire della funzione di randomizzazione con una funzione crittograficamente forte, aumentare il numero di cifre nei Meeting ID e spingere gli organizzatori dei meeting a richiedere password\PIN\SSO per l’accesso.
Zoom è stata molto collaborativa e ha risposto immediatamente apportando una serie di modifiche per risolvere in modo adeguato questa vulnerabilità. Tra le modifiche e le correzioni vi sono: le password ora vengono aggiunte tramite impostazione predefinita a tutte le riunioni, gli utenti possono aggiungere una password alle riunioni programmate prima della patch e le impostazioni della password possono essere applicate a livello di singolo account e per i gruppi dall’amministratore dell’account. Inoltre, Zoom non indicherà più automaticamente se un ID riunione è valido o non valido.