Due falle dell'app di videoconferenza Zoom potrebbero avere esposto le chiamate audio e video degli utenti agli hacker. A individuarle sono stati i ricercatori di Project Zero, il team degli esperti di sicurezza informatica di Google. Anche se ora sono state corrette, non è detto che qualcuno non sia riuscito a sfruttare le vulnerabilità che, come spiegano gli esperti, erano di tipo "zero-clic", ossia non richiedevano che il bersaglio facesse nulla per essere colpito. Etichettati come CVE-2021-34423 (con punteggio di pericolosità pari a 9.8) e CVE-2021-34424 (con punteggio pari a 7.5), i bug sono stati scoperti lo scorso ottobre e corretti da Zoom già a fine novembre.
L'ultimo aggiornamento delle app, sia per computer che smartphone e tablet, integra le soluzioni, proteggendo gli utenti da un'eventuale manomissione dall'esterno. Tramite le criticità e senza alcun coinvolgimento della vittima, un hacker avrebbe potuto prendere il controllo del dispositivo e visualizzare le chiamate in corso. Nonostante la crittografia end-to-end, abilitata da chi avvia la riunione, renda impossibile a terzi la comprensione dei potenziali archivi delle call, un criminale informatico sarebbe stato in grado sfruttare le due falle per seguire i meeting in diretta.
Nel recente passato, il team di Project Zero ha trovato vulnerabilità a zero clic e altre falle in diverse piattaforme di comunicazione, tra cui Facebook Messenger, Signal, Google Duo, FaceTime e iMessage di Apple. Per i ricercatori, analizzare un'app come Zoom non è semplice perché, ricordano, si basa su un sistema proprietario, a differenza dei software open-source, con una comprensione delle dinamiche che richiede più tempo e lavoro.
Riproduzione riservata © Copyright ANSA
