L’app per videoconferenze ‘Zoom’, diventata popolare in mezzo alla pandemia globale del virus del Pcc, è ora oggetto di forti preoccupazioni legate alla privacy e alla sicurezza. Alcune ricerche infatti, e le rivelazioni dello stesso Ceo dell’azienda, hanno confermato che in alcuni casi le chiavi di crittografia dell’app vengono inviate a dei server in Cina.
Queste conferme hanno generato un certo contraccolpo sul piano diplomatico, che ha portato Taiwan a vietare l’uso di Zoom a qualsiasi livello governativo, proprio a causa delle preoccupazioni sulla sicurezza. Questo loro provvedimento del 7 aprile rappresenta la prima azione formale imposta da un governo nei confronti dell’azienda.
Anche negli Stati Uniti sta emergendo una situazione simile; alcuni esperti hanno riferito all‘Epoch Times americano che tali preoccupazioni sui presunti legami tra Zoom e il Partito Comunista Cinese sono assolutamente giustificate.
Il gruppo di monitoraggio Citizen Lab ha infatti di recente esaminato la crittografia usata da Zoom durante diverse chiamate di test nel Nord America: la conclusione alla quale sono arrivati è che le chiavi per la crittografia e la decrittografia delle videoconferenze effettuate venivano «trasmesse a dei server situati a Pechino». La ricerca afferma che Zoom ha utilizzato «tecniche di crittografia non conformi agli standard, con falle identificabili».
Sempre secondo gli autori della ricerca, «un’applicazione con delle falle facilmente identificabili nella crittografia, con problemi di sicurezza e con dei server offshore situati in Cina che gestiscono le chiavi delle call, lascia un chiaro varco ai malintenzionati, soprattutto se ben finanziati dalle risorse di uno Stato, come la Repubblica Popolare Cinese».
L’app ha guadagnato un’immensa popolarità nelle ultime settimane, dato che milioni di persone in isolamento sono costrette a lavorare da casa. Con sede a San Jose, in California, Zoom ha raggiunto a marzo più di 200 milioni di utenti giornalieri in tutto il mondo, un aumento massiccio se si considerano i ‘soli’ 10 milioni di utenti giornalieri di fine dicembre.
L’azienda sembra anche essere proprietaria di tre altre aziende in Cina, si legge nella ricerca di Citizen Lab; secondo l’ente federale statunitense Sec, l’azienda, tramite le sue aziende cinesi affiliate, «impiega almeno 700 dipendenti in Cina che lavorano in “ricerca e sviluppo”». Questa situazione, fanno notare i ricercatori, «potrebbe portare Zoom ad accondiscendere alle pressioni delle autorità cinesi».
Secondo Casey Fleming, presidente e Ceo della società di intelligence e strategia di sicurezza BlackOps Partners, gli americani dovrebbero rimanere molto prudenti nei confronti di qualsiasi software o hardware creato o prodotto in Cina.
«Il Partito Comunista Cinese (Pcc) controlla in toto tutta la produzione e sfrutta ogni opportunità per rubare la proprietà intellettuale e l’innovazione attraverso ogni mezzo possibile ̶ spiega Fleming a Epoch Times ̶ Lo spionaggio economico fa parte della grande strategia del Pcc di competizione ibrida (guerra) per sconfiggere gli Stati Uniti, il capitalismo e la democrazia per controllare alla fine il mondo».
«Il mondo si sta svegliando e sta capendo sempre più quanto sia veramente spietato e malvagio il Partito Comunista Cinese nelle sue vere intenzioni ̶ continua Fleming ̶ Le recenti azioni e dichiarazioni del Pcc rivelano questo punto. Il Pcc è paragonabile a una banda criminale nefasta e squilibrata che governa uno Stato».
L‘Epoch Times americano ha provato a contattare Zoom per ottenere un commento in merito, ma non ha ricevuto risposta.
Nel frattempo, secondo Reuters, il Dipartimento della Sicurezza Nazionale ha dichiarato in una nota che l’azienda Zoom sarebbe a conoscenza delle preoccupazioni sollevate sul suo software. La nota, formulata con tono diplomatico, è stata diffusa poi ai principali funzionari governativi per la sicurezza informatica.
Zoom sotto la lente di ingrandimento
Il Ceo di Zoom, Eric Yuan, ha ammesso in un post del 3 aprile che l’azienda ha «erroneamente» aggiunto dei server dedicati all’applicazione in Cina.
«Presi dall’urgenza di venire in aiuto alle persone del mondo durante questa pandemia senza precedenti, abbiamo aggiunto dei server e li abbiamo implementati rapidamente iniziando dalla Cina, dove l’epidemia è iniziata ̶ ha dichiarato Yuan ̶ In questo processo, non siamo riusciti ad attuare pienamente le nostre consuete e migliori pratiche di geofencing. Di conseguenza, è possibile che durante alcune videoconferenze sia stato permesso di connettersi ai sistemi in Cina, dove non avrebbero dovuto potersi connettere».
A febbraio, spiega Yuan nel dettaglio, per far fronte a un aumento della domanda, Zoom ha aggiunto due dei suoi data center cinesi «a una lunga white list di backup bridges, consentendo a potenziali clienti non cinesi di collegarsi a questi [data center, ndr] in circostanze estremamente limitate (cioè quando i principali server non cinesi non erano disponibili)».
Aggiunge anche che Zoom «ha immediatamente eliminato i data center cinesi dalla white list dei backup bridges secondari per gli utenti al di fuori della Cina» dopo essersi accorta dell’errore.
In un’intervista del 2017 con Medium, Yuan aveva dichiarato di aver deciso di trasferirsi negli Stati Uniti a metà degli anni Novanta per seguire la crescente ondata di sviluppo di Internet, che secondo lui non era decollato in Cina. Ha riferito di aver ottenuto il visto per gli Stati Uniti al nono tentativo.
«La prima volta che ho fatto domanda per un visto statunitense, mi è stato negato ̶ aveva affermato Yuan ̶ Ho continuato a fare domanda più e più volte nel corso di due anni, e alla fine ho ricevuto il visto al nono tentativo».
In una nota di marzo, anche l’Fbi ha messo in guardia sulle vulnerabilità di sicurezza di Zoom; ha parlato infatti di tante segnalazioni di videochiamate violate con «immagini pornografiche e/o inneggianti all’odio o con linguaggi minacciosi». Anche il Dipartimento di Giustizia degli Usa ha emesso un comunicato simile.
Per gli esperti, le critiche all’applicazione sono simili a quelle ricevute dall’app cinese TikTok, che si trova a dover affrontare una processo di verifica da parte della sicurezza nazionale statunitense.
Il 3 aprile, un gruppo di 19 legislatori della Camera degli Usa ha inviato una lettera a Yuan chiedendogli di «fare luce» sulle pratiche di raccolta dati da parte dell’azienda, comprese le informazioni sul tracciamento del grado di attenzione dei partecipanti (attendee attention tracking), la registrazione cloud e le trascrizioni automatiche delle conferenze.
E, secondo il New York Times, il procuratore generale di New York Letitia James ha chiesto a Yuan una lettera informativa sulle nuove misure di sicurezza che Zoom ha messo in atto. Anche il Dipartimento dell’Istruzione della città di New York ha vietato agli insegnanti di utilizzare l’app.
Secondo Attila Tomaschek, esperto di privacy dei dati presso ProPrivacy, Zoom sta dunque affrontando pesanti contraccolpi generati da una «miopia multisfaccettata e spesso sconcertante per quel che riguarda la privacy degli utenti e la sicurezza generale della sua piattaforma».
Sempre secondo l’esperto, «Pechino potrebbe teoricamente richiedere che le chiavi di cifratura di quelle chiamate vengano consegnate per poi essere decifrate dalle autorità cinesi, consentendo loro il pieno accesso ai contenuti di quelle chiamate, nonché la possibilità di ascoltare quelle conversazioni private».
E nel frattempo, Zoom è stata coinvolta in una class action dell’azionista Michael Drieu, che ha accusato l’azienda di aver sovrastimato i suoi standard di privacy e di non aver rivelato che il suo servizio non fosse criptato da cima a fondo.
L’8 aprile anche Google ha vietato l’uso di Zoom sui computer dei dipendenti, menzionando problemi di sicurezza. Un portavoce ha riferito a The Hill che la mossa del colosso informatico era parte della politica di Google, che da tempo non consente l’uso di «applicazioni non approvate per il lavoro».
Per Tomaschek, il fatto che Zoom abbia effettivamente fornito alle autorità cinesi l’accesso ai dati delle chiamate effettuate tra utenti nel Nord America (quindi ben al di fuori del normale raggio d’azione del regime comunista) «eleva il livello di allarme in maniera considerevole».
«[Zoom] rappresenta un bacino di informazioni particolarmente attraente per le agenzie governative nell’ambito della raccolta dati ̶ conclude ̶ Quando un’azienda consegna letteralmente le chiavi a un governo autoritario, questo implica enormi problemi per quanto riguarda la fiducia degli utenti e le sue pratiche generali di sicurezza».
Articolo in inglese: Millions of Americans Using ‘Zoom,’ Which Sends Some Data to China
