L’uso di Zoom è cresciuto in maniera esponenziale durante il periodo di lockdown dovuto alla pandemia COVID-19, ma allo stesso tempo sono emersi gravi problemi di sicurezza. L’azienda californiana aveva addirittura ingannato gli utenti, affermando che le videoconferenze erano protette dalla crittografia end-to-end. Per questo motivo, la FTC ha avviato un’indagine, terminata ieri con un accordo tra le parti e vari obblighi per Zoom.
La FTC (Federal Trade Commission), l’equivalente statunitense della nostra AGCM, ha accusato Zoom di aver attuato una serie di pratiche ingannevoli e sleali che hanno avuto conseguenze per la sicurezza degli utenti. Almeno dal 2016 aveva affermato che le comunicazioni tra gli utenti erano protette dalla crittografia end-to-end a 256 bit. In realtà l’azienda aveva le chiavi crittografiche che gli consentivano di accedere al contenuto delle videoconferenze.
Zoom aveva dichiarato a marzo che la frase “end-to-end” era riferita alla connessione cifrata tra gli “end point”, confermando che i contenuti venivano trasferiti in chiaro attraverso il cloud. La vera crittografia end-to-end è stata attivata solo a fine ottobre per tutti gli utenti (inizialmente era prevista solo per gli abbonati).
La FTC ha accusato Zoom di altre due pratiche ingannevoli. Contrariamente a quanto affermato, le registrazioni dei meeting non venivano conservati in forma cifrata subito dopo la loro conclusione, ma rimanevano sui server in chiaro fino a 60 giorni e solo dopo venivano trasferiti su server più sicuri.
L’azienda californiana ha inoltre minato la sicurezza degli utenti, installando di nascosto il web server ZoomOpener insieme ad un aggiornamento dell’applicazione per macOS nel luglio 2018. Questo componente avviava automaticamente Zoom, eludendo la protezione anti-malware del browser Safari. Apple ha rimosso il web server con un aggiornamento rilasciato a luglio 2019.
In base all’accordo con la FTC, Zoom dovrà documentare eventuali rischi per la sicurezza, implementare un programma di gestione delle vulnerabilità e attivare soluzioni per proteggere gli account, come l’autenticazione multi-fattore. Zoom non dovrà inoltre fornire false affermazioni su privacy e sicurezza. Il suo programma di sicurezza dovrà infine essere valutato da aziende di terze parti.