موشکافی مشکلات امنیتی موجود در برنامه تماس تصویری Zoom

باشگاه خبرنگاران

بروزرسانی 1399/03/13 - 08:48

موشکافی مشکلات امنیتی موجود در برنامه تماس تصویری Zoom

باشگاه خبرنگاران/ در اين گزارش مشکلات امنيتي برنامه Zoom و اتفاقات به وجود آمده پس از اين مشکل را موشکافي مي‌کنيم. هم اکنون برنامه‌هاي مختلفي براي برقراري تماس و صوتي تصويري در بستر اينترنت وجود دارد. اين برنامه‌ها اکنون طرفداران بسياري دارند و کاربران به صورت روزانه از آن‌ها استفاده مي‌کنند. يکي از برنامه‌هاي تماس تصويري نرم‌افزار Zoom است. از زمان شيوع ويروس کرونا و خانه نشين شدن بسياري از مردم جهان، بسياري از افراد براي انجام کارهاي روزمره خود از بستر اينترنت و نرم افزارهاي اجتماعي استفاده مي‌کنند. در اين ميان بسياري از شرکت‌هاي کوچک و بزرگ جلسات خود را با استفاده از نرم افزارهاي کنفرانس و تماس ويديويي برگزار مي‌کنند. در ميان همه نرم‌افزارها، Zoom توانسته است تعداد کاربران بسيار زيادي را به سوي خود جلب کند. اين نرم افزار در مدت زمان بسيار کوتاهي توانسته است به تعداد واقعا بالايي از کاربر روزانه دست پيدا کند اما به تازگي اخباري در فضاي مجازي منتشر شده است که نشان مي‌دهد حريم خصوصي افراد براي مالکان اين نرم افزار از پايين‌ترين اهميت برخوردار است. مشکل از زماني شروع شد که عده‌اي متوجه مشکلات امنيتي اين نرم‌افزار شده و از مسئولان خواستند اين مسئله را جدي بگيرند. در گزارشي که در ادامه مطالعه مي‌کنيد، در دو بخش و با روز دقيق مشکلات امنيتي نرم‌افزار Zoom را بررسي مي‌کنيم. با موشکافي اين مشکل قصد داريم تا همگي از اتفاقات اخير مطلع شوند. ۲۶ مارس/ نرم‌افزار iOS برنامه Zoom داده‌هاي کاربر را به فيسبوک ارسال مي‌کند بررسي‌هاي يکي از خبرگزاري‌هاي فناوري نشان داد که برنامه Zoom در سيستم‌عامل iOS از طريق تعامل اين برنامه با API Graph Facebook، داده‌هاي تجزيه و تحليل کاربر را به فيسبوک ارسال مي‌کند. جالب است بدانيد که اين اتفاق حتي براي کاربران زوم که حساب فيسبوک ندارند نيز رخ مي‌دهد. ۲۷ مارس/ برنامه Zoom ويژگي جمع آوري داده‌هاي فيسبوک را حذف مي‌کند در پاسخ به نگراني‌هاي مطرح شده از تحقيقات اخير، زوم ويژگي جمع آوري داده‌هاي فيسبوک را از برنامه iOS خود حذف کرد و در بيانيه‌اي از اتفاقات پيش آمده بار ديگر عذرخواهي کرد. زوم در گزارشي گفت: "داده‌هاي جمع آوري شده توسط فيسبوک SDK شامل هيچ گونه اطلاعات شخصي کاربر نيست، بلکه بيشتر شامل اطلاعات مربوط به دستگاه‌هاي کاربران مانند نوع سيستم عامل و نسخه سيستم عامل، منطقه زماني دستگاه، سيستم عامل دستگاه، مدل دستگاه و حامل، اندازه صفحه نمايش و پردازنده است. " ۳۰ مارس/ تحقيقات رهگيري: زوم آن طور که وعده داده شده از رمزگذاري End-to-End استفاده نمي‌کند يک تحقيق نشان داد که داده‌هاي تماس زوم بدون رمزگذاري نهايي، به شرکت ارسال مي‌شود. سخنگوي زوم گفت: "در حال حاضر، امکان رمزگذاري E2E براي جلسات ويديويي زوم امکان پذير نيست." اشکالات بيشتر کشف شد پس از کشف يک اشکال در زوم که با ويندوز در ارتباط بود، دو باگ ديگر توسط يک هکر سابق NSA کشف شد که يکي از آن‌ها مي‌تواند به هکر‌هاي مخرب اجازه دهد کنترل ميکروفون يا وب کم کاربر Zoom را در دست بگيرند. يکي ديگر از آسيب پذيري‌ها به زوم اجازه مي‌دهد تا به MacOS دسترسي روت داشته باشد و اين در بهترين حالت يک سطح بالا از خطر است. دادخواست اقدام درجه يک ثبت شد دادخواستي با اقدام طبقاتي عليه اين شرکت انجام شد و ادعا شد که زوم با عدم کسب رضايت مناسب از کاربران در مورد انتقال داده‌هاي زوم خود به فيسبوک، قانون جديد محافظت از داده کاليفرنيا را نقض کرده است. ۱ آوريل / استفاده از Zoom در Space X ممنوع شد به نقل از رويترز، شرکت موشکي SpaceX با استناد به "نگراني‌هاي جدي در مورد حفظ حريم خصوصي و امنيتي"، کارمندان را از استفاده از زوم منع کرد. نقص‌هاي امنيتي بيشتري کشف شد دوباره نقص امنيتي مضر ديگري در زوم کشف شد که باعث شده آدرس ايميل کاربران و عکس‌ها به غريبه‌ها ارسال شود. عذرخواهي از سوي يوان يوان در پستي در وبلاگ خود عذرخواهي عمومي را صادر کرد و قول داد که امنيت را بهبود بخشد. اين بهبود امنيت شامل فعال کردن اتاق انتظار و محافظت از رمز عبور براي همه تماس‌ها مي‌شود. ۲ آوريل/ ابزار خودکار مي‌تواند جلسات زوم را پيدا کند محققان امنيتي فاش کردند که يک وسيله خودکار قادر به يافتن حدود ۱۰۰ شناسه جلسات زوم در يک ساعت بوده و اطلاعاتي را براي تقريباً ۲۴۰۰ جلسه زوم در يک روز اسکن و جمع‌آوري مي‌کند؛ همانطور که توسط برايان کربس، کارشناس امنيتي گزارش داده شده بود. ويژگي داده کاوي (Data-mining) کشف شد ويژگي داده کاوي (Data-mining) در زوم به برخي از کاربران اين امکان را مي‌دهد که به طور ناگهاني به داده‌هاي پروفايل LinkedIn در مورد ساير کاربران دسترسي داشته باشند. ۳ آوريل/ سوابق مکالمه تصويري روي وب قابل مشاهده است تحقيقات اخير نشان داد که هزاران ضبط مکالمه ويدئويي زوم بدون محافظت و قابل مشاهده در وب به صورت باز باقي مانده است. اين تحقيقات تعداد زيادي از تماس‌هاي محافظت نشده شامل بحث در مورد اطلاعات شخصي شناسايي شده، مانند جلسات درماني خصوصي، تماس‌هاي آموزش تلفني، جلسات مربوط به مشاغل کوچک که در مورد صورت‌هاي مالي شرکت خصوصي و کلاس‌هاي مدرسه ابتدايي با اطلاعات دانشجويي در معرض ديد بودند، را کشف کرد. زوم دوباره عذرخواهي مي‌کند زوم تصريح کرد که رمزگذاري سفارشي انجام شده و ثابت شده است که اين شرکت در حال تغيير و بهبود طرح رمزگذاري خود بوده است. يوان در پاسخ مستقيم گفت: "ما تشخيص مي‌دهيم که مي‌توانيم با طراحي رمزنگاري خود بهتر عمل کنيم. " دادخواست اقدام درجه دوم تشکيل شد براي به اشتراک گذاشتن اطلاعات شخصي کاربران با فيسبوک، دومين دادخواست عليه Zoom انجام شد. ۴ آوريل / عذرخواهي ديگر از سوي Zoom اريک يوان، مدير عامل زوم در مصاحبه‌اي طولاني به يکي از خبرگزاري‌ها گفت: "من واقعاً به عنوان مديرعامل دچار اشتباه شده ام و بايد اعتماد آن‌ها را جلب کنيم. نبايد چنين اتفاقي بيفتد." اين فرد با بررسي اوضاع پيش آمده و لزوم پيشرفت و گسترش سريع اين برنامه به دليل شيوع ويروس کرونا از کاربران عذرخواهي کرد. ۵ آوريل/ تماس‌ها به طور اشتباه به سرور‌هاي فهرست سفيد چيني انجام مي‌شود در بيانيه‌اي، زوم اعتراف کرد که برخي تماس‌هاي ويديويي "به اشتباه" از طريق دو سرور ليست سفيد چيني در صورت عدم وجود انجام مي‌شوند. کلام آخر امنيت مهم‌ترين و اصلي‌ترين حق يک کاربر فضاي مجازي است. هنگامي که يک نرم‌افزار نمي‌تواند به پايه‌اي‌ترين نياز يک کاربر توجه کرده و آن را رفع کند بايد فکر ديگري براي عملکرد خود کند. اکنون زوم در حال بهتر کردن نرم‌افزار خود است اما اين مسئله ممکن است به شهرت اين برنامه لطمه بسيار جدي وارد کند. جلب اعتماد دوباره کاربران اصلا کار ساده‌اي نيست و بايد ديد آيا اين شرکت مي‌تواند اين کار را انجام دهد يا خير. در قسمت دوم گزارش به موشکافي روزهاي ۶ الي ۹ آوريل مي‌پردازيم.