Con l’aumento dello smart working dovuto alla pandemia COVID-19, Zoom è diventato in poco tempo uno dei servizi più utilizzati per le videoconferenze, ma subito sono stati individuate diverse vulnerabilità. La software house ha risolto quasi tutti i bug, evitando il lancio di nuove funzionalità per 90 giorni. Alex Stamos, consulente per la sicurezza, ha spiegato perché la crittografia end-to-end verrà attivata solo per gli abbonati.
Zoom rispetta la legge
In base a quanto riportato sul sito ufficiale nel mese di marzo, il servizio offre già la crittografia end-to-end per i meeting. Zoom ha successivamente chiarito che il termine è riferito alla connessione tra gli end point. La crittografia non è quindi end-to-end (come su WhatsApp per intenderci). Attualmente viene utilizzato lo standard AES-256 GCM.
In occasione della presentazione dei risultati trimestrali, il CEO Eric Yuan ha confermato che la vera crittografia end-to-end sarà disponibile solo per gli account paganti.
Sicuramente non verrà offerta la crittografia end-to-end agli utenti gratuiti. Perché vogliamo anche collaborare con l’FBI e le forze dell’ordine locali, nel caso in cui alcune persone utilizzino Zoom per scopi sbagliati.
Alex Stamos ha condiviso una serie di tweet per spiegare questa decisione. La maggioranza delle persone che utilizzano Zoom per organizzare videoconferenze con contenuti illegali sfruttano le funzionalità della versione gratuita. L’assenza della crittografia end-to-end (E2EE) permette quindi di individuare più facilmente questi soggetti, segnalando le loro azioni alle forze dell’ordine.
Ecco perché la funzionalità sarà disponibile solo per gli utenti business. In ogni caso sarà opzionale (opt-in), dato che la sua attivazione potrebbe compromettere il funzionamento del servizio (ad esempio i telefoni PSTN, i sistemi H.323/SIP e le registrazioni cloud sono incompatibili con la E2EE). Su GitHub è stato pubblicato un white paper che spiega l’implementazione prevista per Zoom.