Il Feature Freeze annunciato ieri da Zoom è più che giustificato: l’azienda ha deciso di sospendere il rilascio di nuove funzionalità per i prossimi 90 giorni così da poter concentrare tutte le risorse sulla soluzione dei problemi fin qui emersi. Una scelta saggia, anche in considerazione di quanto portato oggi alla luce da zWarDial.
Zoom: zWarDial trova i meeting non protetti
Si tratta di un software in grado di identificare ogni ora un centinaio di meeting non protetti da password, potenzialmente accessibili da chiunque, anche da chi non è stato invitato a parteciparvi. A spiegarne il funzionamento è Brian Krebs, nome ben noto tra chi segue le vicende legate alla sicurezza.
zWarDial, in grado di trovare in modo automatico le conferenze su Zoom, ogni ora scopre circa 100 meeting non protetti da password. Lo strumento ha anche portato Zoom a investigare se l’approccio impiegato per le password è malfunzionante.
Automated Zoom conference meeting finder 'zWarDial' discovers ~100 meetings per hour that aren't protected by passwords. The tool also has prompted Zoom to investigate whether its password-by-default approach might be malfunctioning https://t.co/dXNq6KUYb3 pic.twitter.com/h0vB1Cp9Tb
— briankrebs (@briankrebs) April 2, 2020
Si basa sulla generazione random di stringhe composte da 11 cifre e sulla possibile corrispondenza con i Meeting ID assegnati da Zoom alle riunioni durante la fase di creazione. In caso di esito positivo è possibile effettuare il collegamento alla stanza. Un problema del tutto simile a quello già descritto mesi fa.
Il grafico qui sopra mostra il settore di appartenenza delle aziende che durante il test sono risultate aver creato una conferenza su Zoom senza proteggerla con un codice di accesso. L’informazione è ottenuta analizzando il nome del meeting, altro dato accessibile mediante zWarDial. Il settore tecnologico svetta su tutti.
[gallery_embed id=130222]
Al momento l’unico modo per mettersi al sicuro durante l’utilizzo del servizio e scongiurare il rischio che qualcuno possa fare irruzione è impostare una password. Vedremo se la falla verrà risolta o meno durante il Feature Freeze annunciato ieri.