La piattaforma Zoom consente di effettuare videochiamate e organizzare meeting online. Del suo funzionamento abbiamo parlato di recente nell’articolo Zoom, cos’è e come funziona l’app per videoconferenze e smart working e abbiamo visto che, diversamente da quanto riportato in alcuni post divenuti virali, l’applicazione non permette a chi organizza gli incontri online di sapere quali programmi sono usati da ciascun partecipante collegato: Zoom può controllare le applicazioni aperte dall’utente. Vero o falso?.
Un reportage di The Intercept ha fatto però emergere un tema che ai più era sfuggito: contrariamente rispetto a quanto dichiara Zoom, le comunicazioni audio e video all’interno della piattaforma non sono crittografate end-to-end.
Com’è noto, infatti, gli algoritmi crittografici end-to-end consentono di proteggere le conversazioni lungo tutto il loro tragitto: le chiavi private vengono infatti generate sui dispositivi client dei singoli utenti e le rispettive chiavi pubbliche vengono sfruttate per scambiare i dati. In questo modo soltanto i partecipanti alla conversazione possono decodificare e leggere le informazioni: neppure il fornitore del servizio può accedervi.
Nel caso di Zoom, quando si avvia una videoconferenza, l’applicazione indica che si sta usando una connessione end-to-end. In realtà ciò non corrisponde al vero perché ciascun client si collega ai server di Zoom usando il protocollo TLS, una connessione UDP e l’algoritmo AES. I dati fluiscono in forma crittografata tra ciascun client e i server di Zoom ma l’azienda avrebbe comunque la possibilità di accedere alle stesse informazioni in chiaro. Un impianto che è ben lontano, quindi, da quello usato dalle soluzioni che offrono meccanismi di protezione dei dati end-to-end.
The Intercept riporta un virgolettato dei portavoce di Zoom: “quando usiamo il termine end-to-end nella nostra documentazione, intendiamo che la connessione viene crittografata tra i singoli endpoint di Zoom” così indicando i server che gestiscono la piattaforma.
Matthew Green, crittografo e professore di informatica alla Johns Hopkins University, sottolinea che le videoconferenze di gruppo sono difficili da crittografare in modalità end-to-end. Questo perché il fornitore del servizio deve sempre rilevare chi sta parlando e agire come una sorta di centralino: lo streaming video ad alta risoluzione della persona che sta parlando viene trasmesso agli altri mentre i flussi degli utenti partecipanti sono inviati con uno streaming di minor qualità. Google, da parte sua, ha dichiarato di usare la cifratura end-to-end anche per le chiamate di gruppo e di non essere in grado di accedere ai contenuti in transito (vedere questa pagina di supporto riferita a Google Duo). Lo stesso fa anche Apple FaceTime.