04 Mag App di videoconferenza: attenzione ai rischi!
La pandemia globale ha costretto ognuno di noi a rivedere le proprie abitudini e stili di vita, compresi i rapporti personali a quelli lavorativi: in tal senso, la tecnologia non si è lasciata trovare impreparata, permettendo di sopperire efficacemente alla mancanza di un contatto fisico tra individui pur mantenendo inalterate le misure di distanziamento sociale adottate dai governi nazionali.
Tra gli strumenti sicuramente più in voga spiccano senz’altro le app di videoconferenza, alcune delle quali stanno registrando in questo periodo un vero e proprio boom tra gli utenti di tutte le età, complice l’estrema versatilità e la semplicità di utilizzo, che spazia dal remote working all’e-learning.
Negli Stati Uniti, dove tali servizi sono particolarmente in voga tra gli adolescenti, il Future of Privacy Forum, l’osservatorio che tra i propri obiettivi ha anche quello di analizzare l’impatto delle applicazioni mobili sulla privacy degli utenti, (nonché autore di un interessante studio pubblicato lo scorso primo aprile riguardante l’efficacia delle applicazioni nel contrasto all’epidemia) ha messo in guardia su alcune clausole presenti nei termini di servizio di alcune tra le app più popolari, che sembrerebbero sfruttare i dati raccolti anche per finalità di marketing diretto.
E’ recente infatti la notizia, pubblicata sulla rivista americana Motherboard di un software presente all’interno di un noto servizio di conference call che nella versione per IPhone avrebbe consentito l’invio dei dati degli utenti a servizi di terza parte quali Facebook, salvo poi essere successivamente rimosso a seguito delle rivolte della community.
Vi è poi un ulteriore aspetto legato all’operatività dell’applicazione che ha fatto rilevare non poche criticità sul versante della sicurezza informatica, derivanti soprattutto dalla mancanza di un ambiente sandbox che ha permesso il raggiungimento di livelli molto profondi nei sistemi operativi di destinazione, al punto da consentire il controllo remoto della webcam senza il consenso dell’utente; ancora, la mancata predisposizione di meccanismi di crittografia end to end e il sistema utilizzato per la denominazione dei files ha permesso che migliaia di registrazioni fossero rintracciabili sul web, le quali il più delle volte contenevano informazioni riservate o dati sensibili degli utenti.
Ma è sul versante della tutela dei soggetti più vulnerabili, quali i minori, che si sono espresse le maggiori perplessità, stante la possibilità di utilizzare tali app per ospitare lezioni dal vivo, al punto tale da costringere alcuni paesi a vietarne l’utilizzo al personale docente.
Come se ciò non fosse di per sé già sufficiente, ad alimentare i dubbi e le perplessità sulla sicurezza delle app di conference call si sono aggiunte le evidenti falle presenti nel programma che hanno permesso di sfruttare la funzione di screen sharing per diffondere, da parte di alcuni hacker, contenuti pedopornografici o antisemiti durante conferenze o sessioni di apprendimento scolastico.
Ciò ha quindi spinto il procuratore di New York, Letitia James, a chiedere direttamente all’azienda produttrice del software chiarimenti sulle categorie di dati raccolti, nonché sulle finalità e le società terze a cui questi sono stati ceduti, ancorché riguardanti soggetti minorenni.
Dal canto suo l’azienda ha ribadito la conformità della propria applicazione alle leggi federali statunitensi che disciplinano la tutela dei dati personali in ambito educativo e scolastico, impegnandosi ad apportare successive modifiche ai propri termini di servizio ed alla privacy policy, nonché rilasciando una patch di sicurezza idonea a risolvere alcune vulnerabilità sui sistemi Windows causate dall’interazione con social network come LinkedIn.
Altre applicazioni sono state invece utilizzate per impossessarsi di tutti gli account aziendali di una rete locale attraverso una mail alla quale è stato allegato un file immagine GIF contenente un malware in grado di autodiffondersi verso tutti i contatti della vittima: anche in questo caso si è reso necessario il rilascio di una patch per porre rimedio alla vulnerabilità.
Stante l’oggettiva non rispondenza di questo tipo di applicazioni ai requisiti del GDPR ed in attesa di una pronuncia di legittimità del Garante Europeo per la protezione dei dati personali, è opportuno adottare delle cautele specifiche, ancorché, come si è avuto modo di vedere, quasi tutte le applicazioni di conference call si sono rivelate vulnerabili.
In particolare, è opportuno utilizzare password complesse nonché predisporre controlli capillari dei partecipanti a ciascun meeting da parte degli host senza che vi sia possibilità di ingresso a soggetti estranei o non autorizzati.
Di non secondaria importanza, per quanto esposto in precedenza, è inoltre la limitazione della funzione di screen sharing al fine di impedire la condivisione di dati o contenuti sensibili o finanche illeciti.