Avete mai avuto bisogno di inserire una password quando vi siete collegati a una riunione Zoom? Se è così, sono certo che fate parte di una minoranza di utenti Zoom. L'organizzatore potrebbe aver consapevolmente impostato la riunione in modo da richiedere una password, presumendo che i partecipanti debbano inserirne una quando fanno clic sul collegamento per unirsi alla riunione. Perché, se l'invito alla riunione ha una password elencata nei dettagli, non è necessaria?
Quando si pianifica una riunione in Zoom c'è un'opzione chiamata "richiedi password per la riunione", che per impostazione predefinita è "on". Di recente Zoom ha modificato questa opzione da "off" a "on" in risposta ai problemi di Zoom-bombing, ovvero l'accesso alle riunioni da parte di ospiti non invitati, che alcuni hanno riscontrato. La persona che pianifica la riunione probabilmente si aspetta che i partecipanti alla riunione abbiano bisogno della password per connettersi. Dopotutto, quando un servizio chiede di creare una password per accedere a un account, di solito la chiede ogni volta che si accede: è così che funzionano le password.
Viene generato un invito, in modo da poter inviare ai destinatari i dettagli su come partecipare alla riunione. L'invito include la data e l'ora, un link per unirsi alla riunione e l'ID riunione e la password.
Il passo successivo è l'invio dell'invito; se tutti i destinatari sono all'interno del dominio aziendale, probabilmente l'invio è sicuro, in quanto il team IT interno ha il controllo. Se invece l'invio avviene a un destinatario esterno all'azienda, il contenuto dell'e-mail passerà attraverso le reti pubbliche. La buona notizia è che il 93% delle e-mail in entrata, secondo Google, è crittografato in transito. Pertanto, le possibilità che qualcuno possa intercettare l'e-mail e carpire i dettagli della riunione, compresa la password, sono limitate.
L'invito arriva nella casella di posta o nel calendario dell'invitato. Al momento della programmazione della riunione, è sufficiente fare clic sul link contenuto nell'invito per partecipare alla riunione. Il pianificatore si aspetta che l'invitato abbia bisogno di una password, perché così è stato configurato l'invito. Tuttavia, non è necessario inserire alcuna password, perché la password è incorporata nel link, nascosta nella stringa di caratteri codificati utilizzata per connettersi alla riunione. A cosa serviva allora richiedere una password?
L'altro modo per partecipare a una riunione Zoom consiste nell'immettere l'ID riunione di 9 cifre; se si tenta di partecipare a una riunione con questo metodo ed è stata configurata una password, viene visualizzata una richiesta di password. In questo modo si impedisce a chi tenta di connettersi a una riunione protetta da password con il solo ID riunione, riducendo così il fenomeno dello Zoom-bombing. Tuttavia, i malintenzionati che hanno effettuato Zoom-bombing potrebbero ancora essere in grado di utilizzare tattiche di forza bruta per trovare ID riunione validi, impostando script in esecuzione per tentare continuamente di connettersi alle riunioni.
C'è il rischio che qualcuno possa inoltrare l'invito, nella sua interezza, a una persona non autorizzata, che potrebbe quindi unirsi alla riunione e sarebbe in possesso del link con la password incorporata e della password effettiva. Anche se la password non fosse incorporata nel link, la password è inclusa nell'invito, quindi anche in questo caso la password non offre alcun valore di sicurezza.
Il browser inserisce qualche rischio per i dati necessari per partecipare a una riunione? Poiché il link è https, il browser inizierà a richiedere ai server di zoom.us una comunicazione crittografata; una volta stabilito, verrà richiesto il link completo e inizierà il processo di riunione, senza che sia necessaria una password perché incorporata nel link. Anche in questo caso, la password non ha aggiunto alcun valore.
Lo zoom-bombing è stato un problema soprattutto per le scuole e gli studenti, con attori malintenzionati che si sono uniti alle videoconferenze per l'insegnamento online e hanno visualizzato messaggi e contenuti razzisti o inappropriati. È probabile che sul dispositivo di uno studente siano installate altre applicazioni o estensioni del browser che consentono di comunicare in modo divertente, ad esempio estensioni per emoji o chat. Se un'estensione ha il permesso di leggere la cronologia di navigazione, il link con la password incorporata può essere accessibile agli sviluppatori dell'estensione, che potrebbero accedere senza conoscere la password, ma attraverso la cronologia del browser dell'utente.
Le estensioni più diffuse che gli studenti potrebbero avere potrebbero far sì che i dettagli della riunione, comprese le password incorporate, vengano condivisi con terze parti. Per verificarlo, sono andato sul Chrome Web Store e, con alcune indicazioni di mio figlio su ciò che gli studenti usano, ho cercato di aggiungere due estensioni di Chrome che hanno più di 1 milione di download ciascuna. Entrambe chiedevano la seguente autorizzazione: "Leggi la cronologia di navigazione".
Questa autorizzazione consente a queste due aziende di terze parti di accedere a tutta la mia cronologia di navigazione, compresi i collegamenti a qualsiasi riunione Zoom a cui si è partecipato, e includerà per impostazione predefinita la password incorporata. Non ho citato le estensioni che ho tentato di aggiungere al mio browser, poiché le aziende interessate potrebbero avere motivi legittimi per raccogliere i dati e potrebbero conservarli in modo sicuro. Tuttavia, potrebbero anche condividerli con altre parti terze e non proteggerli adeguatamente.
Se la riunione viene creata utilizzando le impostazioni predefinite di Zoom e viene programmata in modo ricorrente, il link di invito, compresa la password, può essere condiviso con i fornitori di estensioni e con qualsiasi terza parte con cui condividono i dati. Dubito che la persona che ha programmato la riunione abbia preso in considerazione questa possibilità, pensando che fosse necessaria una password.
Zoom offre la possibilità di disattivare la funzione "password incorporata". Tuttavia, questa opzione non è disponibile al momento della creazione di una riunione, ma richiede all'utente di modificare le impostazioni predefinite in "Impostazioni personali".
A mio avviso, quando un utente crea una riunione, Zoom dovrebbe visualizzare una notifica che avvisi che l'utilizzo dell'impostazione predefinita di "richiedi password" significa in realtà che non sarà richiesta l'immissione di una password da parte di chiunque, comprese le terze parti, abbia il collegamento alla riunione.
Che altro?
Non illudetevi, c'è molto altro da considerare quando si tratta di proteggere le riunioni di Zoom. Leggete il nostro approfondimento sulle impostazioni dell'applicazione e scoprite cos'altro potete fare per rendere il servizio più sicuro.