Di tanto in tanto si sente parlare di Zoom relativamente all’individuazione di qualche problema legato alla questione sicurezza, che fortunatamente viene sempre prontamente risolto dal team del celebre servizio. È questo il caso delle due falle 0-Day recentemente scovate che potrebbero avere esposto alcune chiamate ad attacchi informatici.
Zoom: Google ha scovato due gravi vulnerabilità a zero clic
Le vulnerabilità sono state trovate da Natalie Silvanovich del Project Zero di Google, che si occupa appunto di individuare bug del genere, e hanno destato particolare preoccupazione perché per poter essere sfruttate da eventuali malintenzionati non richiedevano alcun genere d’interazione da parte della vittima. Trattasi insomma delle cosiddette vulnerabilità a zero clic, che negli ultimi tempi stanno prendendo sempre più piede.
Le due falle, siglate come CVE-2021-34423 (con punteggio CVSS pari a 9.8) e CVE-2021-34424 (con punteggio CVSS pari a 7.5), sono già state corrette, sia ben chiaro, ma avrebbero potuto essere impiegate per prendere il controllo del dispositivo della vittima o addirittura per andare a compromettere un server di Zoom che elabora le comunicazioni di molti utenti oltre a quelle della vittima originale.
Gli utenti di Zoom hanno la possibilità di attivare la crittografia end-to-end quando effettuano chiamate sulla piattaforma e ciò impedisce a chiunque abbia accesso al server di spiare le comunicazioni. Un cybercrminale, però, avrebbe potuto sfruttare l’accesso per intercettare le chiamate in cui gli utenti non avevano abilitato la feature.
In merito alla scoperta fatta, Natalie Silvanovich ha dichiarato che la maggior parte dei servizi di videoconferenza più diffusi si basano almeno parzialmente su degli standard open source, il che semplifica di gran lunga la vita degli esperti di sicurezza informatica che intendo esaminarli. Zoom, però, è un sistema completamente proprietario, per cui per analizzare il suo funzionamento interno è potenzialmente più compless.
Ti potrebbe interessare
21 gen 2022