Da Houseparty hackerato ai virus su Zoom: i pericoli delle app per videochat
Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.
“Houseparty hackerato“: davvero una pessima campagna pubblicitaria per l’applicazione per videochiamate che, complice la quarantena globale ed i mini-partygame integrati, aveva ricevuto il favore (ed i download) di milioni di giovani e giovanissimi in tutto il mondo. Una bufala, smentita prontamente dalla società sviluppatrice ma prontamente ripresa dai principali tabloid britannici e successivamente da media più autorevoli, tanto da convincere molte persone a sconsigliarne l’uso ai propri amici e follower dai balconi dei social network.
Se però il pericolo di “Houseparty hackerato” è fasullo, molto più reali sono le minacce che viaggiano su altre app per videoconferenze e smart working: piattaforme come Zoom sono diventate il bersaglio di molestatori, hacker e malintenzionati digitali che si servono della popolarità delle suddette applicazioni per diffondere malware, attacchi phishing o semplicemente per rendere molto più difficile la vita a migliaia di malcapitati.
Siete pronti per scoprire quali pericoli si nascondono dietro le app per videochiamate più popolari?
HOUSEPARTY HACKERATO – MA DA CHI?
Se frequentate social network come Instagram, Facebook o Snapchat avrete sicuramente visto, specialmente tra le Storie dei profili di amici o familiari, un messaggio che vi avvertiva che “Houseparty è stato hackerato“ (senza tuttavia fornire fonti o testimonianze dirette), che sarebbe dunque più saggio trasferirsi su un’altra app per videochiamate (anche se più spesso l’avvertimento si ferma ad un più diretto “Houseparty hackerato”).
Nessuno sa con certezza dove abbia avuto luogo questa “campagna di diffamazione” (“paid commercial smear campaign”), come è stata definita in un tweet del profilo ufficiale dell’applicazione. Più nota è invece la data d’inizio: già dal 28 marzo avvertimenti di questo genere (“Houseparty hackerato”, “Houseparty ruba i profili Instagram”, e così via) sono iniziati a comparire su varie piattaforme social. Il problema non riguarda la sicurezza dell’account Houseparty, così come la semantica di quell'”Houseparty hackerato” potrebbe suggerirvi, quando piuttosto quella di altri profili, più sensibili poiché legati a piattaforme a pagamento o – peggio ancora – a siti di banche e sistemi di transazione monetaria, come PayPal.
I tweet, le Storie ed i post pubblici che hanno alimentato la bufala di un Houseparty hackerato accusavano la piattaforma di aver sottratto le proprie credenziali di accesso a Spotify, Netflix o PayPal: la prova del tutto circostanziale (nei rari casi in cui veniva fornita) del furto consisteva nelle tempistiche, che vedevano l’installazione dell’applicazione accadere poco prima che l’effrazione degli account avesse luogo.
We are investigating indications that the recent hacking rumors were spread by a paid commercial smear campaign to harm Houseparty. We are offering a $1,000,000 bounty for the first individual to provide proof of such a campaign to [email protected].
— Houseparty (@houseparty) March 31, 2020
Houseparty ha diffuso oggi un comunicato ufficiale, respingendo le fantasiose ricostruzioni e anzi invitando chiunque abbia delle prove della vulnerabilità a mostrarsi pubblicamente. In palio c’è non soltanto la credibilità dell’applicazione, ma un mercato che vale milioni di dollari – uno dei quali Houseparty l’ha messo in palio proprio per chi sappia verificare praticamente le accuse. Dall’inizio della pandemia l’applicazione ha cominciato nuovamente a ricevere attenzioni sia da parte del pubblico, che degli sviluppatori (l’ultimo aggiornamento di Houseparty risaliva infatti alla prima metà del 2019, fino a poche settimane fa).
Applicazione per videochiamare amici e contatti, Houseparty si distingue da altre piattaforme per via della natura ludica delle proprie funzioni: i partecipanti di ciascuna “stanza” possono concorrere tra loro grazie ad alcuni party-games che riprendono giochi da tavolo più famosi (Pictionary, Cards Against Humanity). Dai 24.795 download giornalieri del 24 febbraio, Houseparty è passata ai 651.964 del 30 marzo per una media di due milioni di download alla settimana – sarà facile capire dunque che le accuse di “pilotaggio” della campagna diffamatoria dell'”Houseparty hackerato” possano non sembrare del tutto fuori luogo.
Le accuse di hackeraggio infatti non reggono l’evidenza dei fatti che le smentiscono. Da una parte l’analista Lukas Stefanko, ricercatore presso il famoso antivirus ESET, ha pubblicato sulla rivista Forbes un’analisi tecnica dell’applicazione secondo la quale né i permessi richiesti, né la privacy policy mostrano la presenza di buchi tecnici o legali che permettano all’app di hackerare i profili dei propri utenti. Dall’altra, non c’è movente che possa giustificare una condotta tanto illegale: a partire dall’anno scorso Houseparty è entrata a fare parte del catalogo di Epic Games, software house sviluppatrice del popolarissimo videogioco Fortnite e proprietaria dell’omonimo store di giochi per PC.
Il motivo dunque dei furti di credenziali per i quali Houseparty è stato identificato come capro espiatorio sono probabilmente da ricondursi a forme di attacchi phishing, che nelle ultime settimane si sono moltiplicati – a volte proprio sfruttando la popolarità delle app di videochiamate, come avrete modo di leggere tra qualche paragrafo. Tramite portali fasulli, email SPAM o link malevoli gli hacker sono in grado di derubare le malcapitate vittime delle password di accesso ad account Netflix, Spotify o eBay per poi rivenderli nel Dark Web, oppure su altri forum online. Se volete scoprire come evitare simili pericoli, vi consigliamo di leggere la nostra guida a riguardo.
MALWARE, PHISHING E NON SOLO: TUTTI I PERICOLI DI ZOOM
L’improvvisa popolarità ha procurato a due piattaforme concorrenti, danni del tutto speculari: se molti utenti dell’app Houseparty hanno creduto di essere sottoposti ad un pericolo che si è rivelato poi essere inesistente, una percentuale molto minore degli utenti dell’applicazione Zoom sono a conoscenza dei pericoli che si nascondono dietro l’uso della sua suite di videochat.
La prima minaccia consiste nei siti fasulli che, simulando l’ufficialità del portale della piattaforma, cercano di derubare gli utenti delle credenziali dell’account Zoom – e non solo di quelle. La società d’analisi di minacce Check Point ha scoperto 1.700 nuovi siti web contenenti la parola “Zoom” registrati dall’inizio della pandemia, il 25% dei quali non ha più di sette giorni di vita; ben 70 di questi sono stati poi scoperti condurre attacchi phishing.
Ma non solo. Sempre stando al report di Check Point, insieme ai domini falsi si accompagna la minaccia dei file d’installazione contenenti varie tipologie di malware – come spyware ed adware. La maggior parte di questi virus è veicolata da file d’installazione con estensione .EXE, e contenenti anch’essi il termine “Zoom” per suggerire alla vittima che si tratti del pacchetto per l’installazione del client desktop di Zoom.
Ma l’utente di Zoom non deve soltanto proteggersi dagli attori esterni – anche la piattaforma stessa sembra apparentemente fornire dettagli poco corretti, per non dire sbagliati, riguardo la sicurezza fornita alle chiamate effettuate tramite i suoi servizi. A partire dalla crittografia endo-to-end che gran parte della documentazione ufficiale – così come la totalità del materiale pubblicitario – sostiene che Zoom applichi all’audio e al video delle chiamate. Come riportato dalla rivista online The Intercept, sono affermazioni inesatte: le videochiamate tramite Zoom sono protette tramite quella che viene chiamata “transport encryption“, meno sicura rispetto alla E2E e incapace di offrire lo stesso grado di offuscamento al contenuto delle registrazioni. Stando all’analisi della rivista, la “transport encryption” consente comunque a Zoom di accedere alle videochiamate.
Contattati in merito, i rappresentanti dell’app di videochat hanno sostenuto che la definizione di “crittografia end-to-end” si applichi alla presenza dei server di Zoom che, essendo posti ai due lati della conversazione (per quanto nemmeno questo sia vero: agli estremi di una videochat ci sono i client Zoom utilizzati dai suoi partecipanti, mentre i server si posizionano in mezzo), sono appunto “end-to-end“. Questo significa che le videochiamate su Zoom sono insicure? No; ma non lo sono al livello che la piattaforma vorrebbe lasciare a intendere.
Ci sono poi altre problematiche: la privacy delle conversazioni può essere messa in pericolo in altri modi. Non c’è soluzione ufficiale per impedire ad uno dei partecipanti alla conversazione di registrare video ed audio, ad esempio; inoltre, all’inizio della pandemia, l’app di Zoom per iOS utilizzava un servizio di autenticazione alla piattaforma tramite Facebook che forniva al social network una quantità di dati spropositata rispetto al necessario. Fortunatamente, qualche giorno fa un aggiornamento ha eliminato questa problematica – lasciandone molte altre in sospeso, a quanto sembra.
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!
