Vulnerabilità o funzionalità? Il caso Jitsi e la privacy compromessa

Un ricercatore ha scoperto che la piattaforma Jitsi, nella sua istanza pubblica meet.jit.si, permette l'accesso automatico a videoconferenze con webcam e microfono attivi senza alcun clic da parte dell’utente, se i permessi erano già stati concessi in precedenza.
Michele Nasi
Pubblicato il 24 lug 2025
Vulnerabilità o funzionalità? Il caso Jitsi e la privacy compromessa

Nel mondo delle comunicazioni online, la fiducia è fondamentale. Jitsi, una popolare piattaforma open source per le videoconferenze, ha guadagnato consensi grazie alla sua natura gratuita, decentralizzata e rispettosa della privacy. Tant’è vero che è possibile installare Jitsi in locale su un proprio server.

Tuttavia, un comportamento apparentemente legittimo del sistema di gestione delle conferenze ha sollevato dubbi inquietanti: si tratta davvero di una funzione voluta o nasconde una vulnerabilità sottovalutata, capace di mettere a rischio milioni di utenti inconsapevoli?

Scenario d’attacco: non serve neppure un clic per spiare gli utenti

Un ricercatore indipendente ha scoperto un problema in Jitsi che può portare utenti terzi non autorizzati a spiare il contenuto delle videoconferenze altrui. Il vettore di attacco sfrutta due caratteristiche principali dell’istanza pubblica di Jitsi, raggiungibile all’indirizzo meet.jit.si:

  • Se un utente ha già partecipato in passato a una videoconferenza Jitsi e ha concesso l’accesso alla webcam e al microfono, queste autorizzazioni sono ricordate dal browser per i successivi accessi a meet.jit.si.
  • Aggiungendo il parametro #config.prejoinConfig.enabled=false all’URL della stanza, Jitsi salta la schermata di anteprima e unisce direttamente l’utente alla videoconferenza, con microfono e webcam attivi.

Creando una semplice pagina Web contenente un paio di righe di codice JavaScript, è possibile provocare l’apertura di una nuova finestra con il riferimento a qualunque stanza Jitsi. La finestra originale, che si trova in background, carica insomma la videoconferenza Jitsi e collega silenziosamente l’utente a una stanza allestita dall’attaccante. Se i permessi Jitsi fossero già stati concessi in passato, la webcam e il microfono sono attivati automaticamente, senza alcuna interazione esplicita dell’utente.

Questo comportamento, sfruttato in maniera malevola, può permettere a un sito Web apparentemente innocuo di registrare audio e video dell’utente senza che questi ne sia consapevole.

La posizione ufficiale di Jitsi

Dopo la segnalazione fatta il 17 giugno 2025, i responsabili del progetto Jitsi hanno risposto al ricercatore descrivendo il comportamento come una funzione prevista. “That’s a feature“, è la laconica risposta ottenuta.

Alla successiva richiesta di poter divulgare pubblicamente il problema, non ha fatto seguito alcuna risposta.

La mancanza di un meccanismo di mitigazione o di un ripensamento rispetto alla gestione della privacy nella istanza pubblica di Jitsi rappresenterebbe, sempre a detta dell’autore della segnalazione, un’occasione persa per rafforzare la fiducia nella piattaforma.

Contromisure e raccomandazioni

Per utenti e amministratori IT che utilizzano o hanno in passato fatto uso di Jitsi, alcune buone pratiche che contribuiscono a ridurre il rischio sono le seguenti:

  • Isolare l’accesso a meet.jit.si tramite browser dedicati o profili separati.
  • Revocare i permessi della webcam e del microfono dopo ogni sessione, utilizzando le impostazioni del browser.
  • Utilizzare istanze Jitsi self-hosted, dove è possibile disabilitare esplicitamente l’accesso automatico ai dispositivi.
  • Monitorare costantemente l’uso della webcam e del microfono, affidandosi a indicatori visivi o a strumenti di sicurezza avanzati.

L’auspicio è che la segnalazione serva a stimolare un dialogo più ampio sulla sicurezza delle piattaforme e sulla responsabilità nella gestione di infrastrutture pubbliche. Tra l’altro, la sottrazione di flussi audio e video e streaming è un’attività sorprendentemente comune, come sottolinea una ricerca di Google Project Zero risalente a qualche tempo fa.

Note finali

Utenti con molte schede aperte potrebbero non accorgersi di una scheda Jitsi attiva in background, anche se alcuni browser mostrano indicatori visivi evidenti (i.e. icona rossa del microfono).

Alcuni esperti suggeriscono un sistema di validazione dei permessi basato su chiavi pubbliche legate all’origine (un concetto simile a HPKP ma meno rigido). L’exploit potrebbe esistere, in forma più complessa, anche su altre piattaforme; tuttavia, in Jitsi è estremamente facile da riprodurre e per questo motivo non dovrebbe essere sottovalutato.

In generale, serve maggiore trasparenza: se davvero quella in questione è una “feature”, dovrebbe essere utilizzata soltanto in ambienti controllati, non sull’istanza pubblica del servizio.

Ti consigliamo anche

Starlink down, il blackout è globale: cosa sta succedendo?
Internet

Starlink down, il blackout è globale: cosa sta succedendo?
Google, svolta nella ricerche online: arriva la funzione AI Web Guide
Internet

Google, svolta nella ricerche online: arriva la funzione AI Web Guide
Google Virtual Try on è finalmente arrivato: cosa può fare
Internet

Google Virtual Try on è finalmente arrivato: cosa può fare
DuckDuckGo introduce sistema di filtraggio immagini AI
Internet

DuckDuckGo introduce sistema di filtraggio immagini AI
Link copiato negli appunti