FTC: Zoom ha mentito e non si è comportata in modo trasparente. Le conseguenze

Zoom è una piattaforma e un’applicazione per le videoconferenze che viene frequentemente aggiornata dai suoi sviluppatori. Uno dei vantaggi di Zoom è che si tratta di una soluzione che cambia pelle molto spesso venendo incontro alle esigenze degli utenti.

Storicamente, però, Zoom è stata protagonista di qualche rovinoso “scivolone” tanto che oggi la società ha stretto un accordo per risolvere una contestazione avanzata dalla Federal Trade Commission (FTC) statunitense.

Secondo la FTC “una serie di pratiche ingannevoli e sleali hanno minato la sicurezza degli utenti” che in passato hanno utilizzato Zoom.
Di recente Zoom ha aggiunto al suo client la possibilità di attivare la crittografia end-to-end: in precedenza, però, Zoom parlava di utilizzo di tale soluzione di sicurezza quando ciò non corrispondeva al vero.

Come spiegammo nell’articolo Zoom, le videochiamate non sono cifrate end-to-end crittografare i dati che fluiscono tra i server dell’azienda e i dispositivi degli utenti (e viceversa) è ben diverso dall’attivazione della cifratura end-to-end con la quale le chiavi restano sempre conservate lato utente e le comunicazioni rimangono inaccessibili anche da parte del gestore del servizio.

A partire dal 2016 FTC ha contestato le affermazioni di Zoom sia per quanto riguarda il funzionamento dei meccanismi di cifratura integrati nell’applicazione sia per ciò che concerne la gestione delle registrazioni video.
La FTC ha infatti aggiunto che Zoom ha di fatto fuorviato alcuni utenti dichiarando che le registrazioni video memorizzate sui server dell’azienda sarebbero state immediatamente protette con la crittografia al termine della sessione di videoconferenza.
In realtà certe registrazioni sarebbero state conservate in chiaro fino a 60 giorni sui server di Zoom prima di essere trasferite in sicurezza sul servizio di storage cloud.

Come se non bastasse, l’Autorità USA sostiene anche che Zoom ha installato il suo server web ZoomOpener insieme con il suo client desktop per sistemi macOS senza informare gli utenti. Il software è rimasto installato sui sistemi anche dopo la rimozione del client di Zoom da parte degli utenti.
Il sistema basato sull’utilizzo di ZoomOpener sembra sia stato posto in essere al fine di aggirare alcuni controlli di sicurezza di Safari tanto che lo scorso anno Apple era dovuta intervenire per forzare la disinstallazione del componente software.

Nell’ambito dell’accordo tra la FTC e Zoom, l’azienda si è adesso impegnata a effettuare audit di sicurezza prima di qualsiasi aggiornamento del software, a condurre verifiche annuali alla ricerca di qualsiasi potenziale rischio per la sicurezza, a implementare un programma di gestione delle vulnerabilità, strumenti per la cancellazione dei dati e a prevenire l’uso di credenziali utente rubate.
La FTC disporrà inoltre controlli sull’operato di Zoom svolti da un soggetto esterno.