L’estate scorsa le segnalazioni in merito a una grave vulnerabilità riscontrata nella versione macOS di Zoom, software dedicato alle videoconferenze e indirizzato principalmente all’ambito professionale. Un problema risolto in pochi giorni mediante il rilascio di una patch, anche in seguito all’intervento di Apple. Oggi dai ricercatori di Check Point Research la segnalazione di una nuova falla relativa allo stesso programma, fortunatamente già sistemata dallo sviluppatore.
Zoom, nuovo problema di sicurezza (risolto)
Si tratta di una criticità in grado di consentire potenzialmente a chiunque di individuare un meeting in corso di svolgimento e di prendervi parte. Questo perché l’ID che contraddistingue ogni singola conferenza è sempre formato da un numero di 9, 10 o 11 cifre. Se chi organizza l’incontro su Zoom non richiede esplicitamente l’inserimento di una password ai partecipanti o non attiva l’opzione per confermarne manualmente l’ingresso all’atto della connessione (tramite una sorta di lista d’attesa), il rischio è che digitando un ID casuale chiunque possa unirsi alla conversazione.
Check Point Research ha messo a punto un metodo in grado di verificare se l’ID digitato nel browser per unirsi a un meeting corrisponde a un incontro realmente in atto o meno, analizzando un elemento div nel codice HTML della pagina mostrata al tentativo di connessione digitando un indirizzo come “https://zoom.us/j/8***34***9”. Così facendo i ricercatori si sono trovati per le mani un numero non indifferenze di stanze con videoconferenze Zoom in corso: sarebbe stato sufficiente un click per entrarvi, a meno che l’amministratore non avesse abilitato la lista d’attesa citata poc’anzi o reso obbligatoria l’immissione della password.
[gallery_embed id=130222]
Allertata del problema già nel luglio scorso (pochi giorni dopo la segnalazione della vulnerabilità citata a inizio articolo), la software house lo ha risolto mettendo mano all’algoritmo che genera il codice identificativo di ogni meeting.