Zoom 5: tutti i miglioramenti per privacy e sicurezza
Come promesso diverse settimane fa, gli sviluppatori di Zoom hanno riprogettato completamente l’approccio alla protezione dei dati e la versione 5.0 di questa popolare applicazione è cambiata molto rispetto a quella pre-coronavirus. Questo cambiamento ha dato subito i suoi frutti. Se prima le grandi aziende e le istituzioni storcevano il naso al sentir parlare di Zoom, ora invece le cose stanno cambiando e nella versione 5 sono presenti alcune caratteristiche utili. Di seguito riportiamo l’analisi che Kaspersky ha fatto sulle principali novità.
Pratica collocazione delle impostazioni di sicurezza
A partire da Zoom 5, tutte le impostazioni per la gestione dei partecipanti alla conferenza si trovano in un’unica sezione in cui è possibile limitare le autorizzazioni concesse agli utenti, bloccare l’accesso alle riunioni per evitare ospiti indesiderati, aggiungere una watermark alle schermate e alle registrazioni audio nel caso qualcuno decida di pubblicarle, e così via. Per aprire le impostazioni di sicurezza, basta cliccare sull’icona dello scudo nel menu della conferenza.
Protezione anti-troll
Una serie di nuove impostazioni blocca l’invasione da parte di troll anonimi. In primo luogo le password e la funzionalità Sala d’attesa (grazie alla quale è necessaria l’autorizzazione dell’host per partecipare alla conferenza) sono ora abilitate di default. In secondo luogo, ora è possibile impedire ai partecipanti di cambiare il proprio nome. I proprietari di account a pagamento possono anche richiedere ai partecipanti di fornire informazioni su sé stessi quali nome, indirizzo e-mail e simili. Con un account aziendale, è possibile bloccare la connessione di utenti non autorizzati o con un certo tipo di dominio di indirizzo e-mail (ad esempio, pubblico invece di aziendale).
Routing dei dati
Anche l’approccio di Zoom al routing dei dati è cambiato. Ora la vostra videochiamata non verrà instradata per errore su un server cinese o su un altro server straniero. Se per qualche motivo la conversazione deve rimanere all’interno del vostro Paese, allora non avete nulla di cui preoccuparvi: le conferenze gratuite rimarranno nella zona nazionale e gli abbonati a pagamento, a partire dal 18 aprile, potranno scegliere in quali Paesi passeranno le proprie informazioni. Inoltre, tutti i partecipanti alla conferenza possono ora vedere a quale centro dati sono collegati cliccando sull’icona “i” nell’angolo in alto a sinistra dello schermo. Se i vostri dati vengono inoltrati da qualche altra parte, potete scoprirlo e lamentarvi con lo sviluppatore.
Condivisione dello schermo più sicura
Il vecchio Zoom mostrava sempre le anteprime dei messaggi della chat nelle notifiche. Questo potrebbe portare a una situazione imbarazzante se, ad esempio, qualcuno vi scrivesse un messaggio personale durante la condivisione dello schermo. Ora, durante le conferenze gratuite il servizio non visualizza le notifiche e non mostra la chat durante la condivisione dello schermo, anche se è aperta.
Cifratura aggiornata
Gli sviluppatori hanno aggiornato anche l’algoritmo di cifratura. In primo luogo, Zoom ora utilizza chiavi di cifratura più lunghe (e quindi più affidabili). In secondo luogo, ora si verifica anche l’integrità dei dati trasmessi, una misura di protezione contro intrusi che potrebbero corrompere o alterare un messaggio cifrato senza decifrarlo.
Se siete attirati dai dettagli tecnici (e chi non lo è?), vi interesserà sapere che Galois/Counter Mode ora gestisce il controllo dell’integrità. Oltre ad essere più sicuro, il GCM è considerato meno impegnativo in termini di risorse, quindi avere a disposizione una migliore cifratura non significa sacrificare le prestazioni del computer.
Cifratura end-to-end
Infine, gli utenti saranno presto in grado di comunicare senza che nessuno, estranei o dipendenti di Zoom, possa spiarvi. Il servizio prevede di aggiungere la cifratura end-to-end alle videochiamate, e per questo scopo la compagnia ha anche acquisito Keybase, azienda specializzata nella protezione di servizi di messaggistica e di app per lo scambio di dati.
All’inizio, Zoom aveva pensato di offrire il massimo livello di privacy solo agli abbonati a pagamento. Ma la notizia che avrebbe lasciato gli utenti gratuiti senza crifratura end-to-end ha suscitato molte critiche: l’azienda è stata accusata di collaborare con le agenzie di intelligence, o almeno di lasciare la porta aperta per loro.
Queste accuse ignorano opportunamente un punto importante: praticamente nessuno della concorrenza di Zoom offre questa opzione. Le videochiamate cifrate end-to-end sono disponibili solo in siti di messaggistica istantanea con capacità di videochiamata limitata o tool aziendali ad alto costo che le offrono solo su richiesta e chiaramente non sono gratuite.
Gli sviluppatori hanno buone ragioni per non amare la cifratura video end-to-end, che è incompatibile con molte funzioni utili, tra cui la possibilità di registrare le conferenze su cloud, di trasmetterle su YouTube o di partecipare alle riunioni per telefono, e tutto ciò richiede la gestione attraverso un server. In termini di comodità, la maggior parte degli utenti sta meglio senza.
Detto questo, il 17 giugno, Zoom ha annunciato che la cifratura end-to-end sarà resa disponibile a tutti, compresi coloro che utilizzano il servizio gratuitamente. Non accadrà da un giorno all’altro, però, visto che l’azienda ha in programma di iniziare i primi test beta a luglio.
Mai dormire sugli allori
Va comunque ricordato che la sicurezza assoluta non esiste. Ad esempio, sono state scoperte due vulnerabilità nella versione Zoom 4.6.10, che è relativamente recente. Una di queste vulnerabilità ha permesso ad un messaggio di chat dannoso di eseguire un codice arbitrario sul server di Zoom. Questo bug è stato risolto prima del lancio della versione 5.
La seconda vulnerabilità era legata all’integrazione della funzione di chat con il repository di GIF online GIPHY. Il bug permetteva di scaricare file arbitrari sui computer dei partecipanti alla conferenza invece di immagini animate. Gli sviluppatori hanno temporaneamente disabilitato la funzione vulnerabile e promettono di ripristinarla non appena il problema sarà risolto.
Finora, su Zoom 5 non sono stati trovati “orrori” degni di nota, ma questo non significa che non ce ne siano. Finché il servizio rimarrà sotto i riflettori, non mancheranno persone che cercheranno i suoi punti deboli. Pertanto, se usate Zoom, assicuratevi di tenere gli occhi aperti ne caso ci fossero aggiornamenti e installateli immediatamente.