È stato individuato un difetto di sicurezza nell’ultima versione di Zoom, la 5.5.4 (13142.0301), che potrebbe accidentalmente far trapelare informazioni sensibili degli utenti agli altri partecipanti ad una riunione o ad una videoconferenza.
La vulnerabilità, tracciata come CVE-2021-28133 e non ancora corretta, è dovuta ad un malfunzionamento nella funzione di condivisione schermo di Zoom che, lo ricordiamo, consente agli utenti di condividere con gli altri partecipanti alla videoconferenza il contenuto dello schermo del desktop o dello smartphone, soltanto una porzione di esso oppure una o più finestre di applicazioni.
Indice degli argomenti
A rischio e-mail e password degli utenti
Nel momento in cui l’utente dovesse sovrapporre la schermata di un’applicazione non condivisa a quella di un’altra applicazione condivisa, il contenuto della prima finestra verrebbe comunque mostrata a tutti i partecipanti alla videoconferenza, sebbene solo per qualche secondo.
In poche parole, c’è il rischio di condividere dati riservati in modo non intenzionale a persone non autorizzate: ad esempio, un utente potrebbe sovrapporre la schermata di un password manager ad una schermata condivisa su Zoom (ad esempio, una presentazione di PowerPoint) e, in questo modo, mostrare a tutti le proprie credenziali di accesso ad app e servizi online. Oppure, condividere involontariamente la schermata del client di posta elettronica con un’e-mail contenente dati sensibili e riservati.
Dati sensibili in chiaro nelle registrazioni delle riunioni
C’è da dire che la visualizzazione di una schermata non condivisa avviene solo per pochi istanti.
I ricercatori Michael Strametz e Matthias Deeg che hanno scoperto il nuovo bug di Zoom fanno notare, però, che altri partecipanti alla videoconferenza potrebbero registrare la riunione sia attraverso le funzionalità di registrazione integrata nell’app stessa sia tramite un software di registrazione dello schermo.
A quel punto, sarebbero in grado di mandare in riproduzione la registrazione video, metterla in pausa al momento giusto e visualizzare i dati riservati con tutta calma.
Vista la difficoltà di sfruttamento intenzionale (un eventuale attaccante dovrebbe infatti ottenere l’accesso ad una riunione in cui i dati vengono inavvertitamente svelati a causa del bug nella funzione di condivisione schermo di Zoom), la vulnerabilità è stata classificata con un livello di gravità medio (5.7 su 10) sulla scala CVSS.
È evidente, però, che la vera gravità di questo malfunzionamento della piattaforma di videoconferenza dipende molto dalla sensibilità dei dati condivisi involontariamente.
Una patch forse nella prossima versione di Zoom
La vulnerabilità è stata segnalata a Zoom lo scorso 2 dicembre e, probabilmente, ora che è stata resa pubblica, verrà risolta con il prossimo aggiornamento dell’app che verrà rilasciato il 22 marzo su sito ufficiale.
Al momento, quindi, l’unico consiglio per non correre il rischio di divulgare inavvertitamente informazioni e dati riservati è quello di usare Zoom all’interno di un desktop virtuale.
Per fare ciò, ad esempio su Windows 10, è sufficiente cliccare sull’icona Visualizzazione attività nella barra delle applicazioni e cliccare in alto su Desktop 2 o su Nuovo desktop. Quindi, avviare Zoom su questa nuova scrivania virtuale.