باشگاه خبرنگاران/ در اين گزارش مشکلات امنيتي برنامه Zoom و اتفاقات به وجود آمده پس از اين مشکل را موشکافي ميکنيم.
هم اکنون برنامههاي مختلفي براي برقراري تماس و صوتي تصويري در بستر اينترنت وجود دارد. اين برنامهها اکنون طرفداران بسياري دارند و کاربران به صورت روزانه از آنها استفاده ميکنند. يکي از برنامههاي تماس تصويري نرمافزار Zoom است.
از زمان شيوع ويروس کرونا و خانه نشين شدن بسياري از مردم جهان، بسياري از افراد براي انجام کارهاي روزمره خود از بستر اينترنت و نرم افزارهاي اجتماعي استفاده ميکنند. در اين ميان بسياري از شرکتهاي کوچک و بزرگ جلسات خود را با استفاده از نرم افزارهاي کنفرانس و تماس ويديويي برگزار ميکنند. در ميان همه نرمافزارها، Zoom توانسته است تعداد کاربران بسيار زيادي را به سوي خود جلب کند. اين نرم افزار در مدت زمان بسيار کوتاهي توانسته است به تعداد واقعا بالايي از کاربر روزانه دست پيدا کند
اما به تازگي اخباري در فضاي مجازي منتشر شده است که نشان ميدهد حريم خصوصي افراد براي مالکان اين نرم افزار از پايينترين اهميت برخوردار است. مشکل از زماني شروع شد که عدهاي متوجه مشکلات امنيتي اين نرمافزار شده و از مسئولان خواستند اين مسئله را جدي بگيرند. در گزارشي که در ادامه مطالعه ميکنيد، در دو بخش و با روز دقيق مشکلات امنيتي نرمافزار Zoom را بررسي ميکنيم. با موشکافي اين مشکل قصد داريم تا همگي از اتفاقات اخير مطلع شوند.
۲۶ مارس/ نرمافزار iOS برنامه Zoom دادههاي کاربر را به فيسبوک ارسال ميکند
بررسيهاي يکي از خبرگزاريهاي فناوري نشان داد که برنامه Zoom در سيستمعامل iOS از طريق تعامل اين برنامه با API Graph Facebook، دادههاي تجزيه و تحليل کاربر را به فيسبوک ارسال ميکند. جالب است بدانيد که اين اتفاق حتي براي کاربران زوم که حساب فيسبوک ندارند نيز رخ ميدهد.
۲۷ مارس/ برنامه Zoom ويژگي جمع آوري دادههاي فيسبوک را حذف ميکند
در پاسخ به نگرانيهاي مطرح شده از تحقيقات اخير، زوم ويژگي جمع آوري دادههاي فيسبوک را از برنامه iOS خود حذف کرد و در بيانيهاي از اتفاقات پيش آمده بار ديگر عذرخواهي کرد. زوم در گزارشي گفت: "دادههاي جمع آوري شده توسط فيسبوک SDK شامل هيچ گونه اطلاعات شخصي کاربر نيست، بلکه بيشتر شامل اطلاعات مربوط به دستگاههاي کاربران مانند نوع سيستم عامل و نسخه سيستم عامل، منطقه زماني دستگاه، سيستم عامل دستگاه، مدل دستگاه و حامل، اندازه صفحه نمايش و پردازنده است. "
۳۰ مارس/ تحقيقات رهگيري: زوم آن طور که وعده داده شده از رمزگذاري End-to-End استفاده نميکند
يک تحقيق نشان داد که دادههاي تماس زوم بدون رمزگذاري نهايي، به شرکت ارسال ميشود. سخنگوي زوم گفت: "در حال حاضر، امکان رمزگذاري E2E براي جلسات ويديويي زوم امکان پذير نيست."
اشکالات بيشتر کشف شد
پس از کشف يک اشکال در زوم که با ويندوز در ارتباط بود، دو باگ ديگر توسط يک هکر سابق NSA کشف شد که يکي از آنها ميتواند به هکرهاي مخرب اجازه دهد کنترل ميکروفون يا وب کم کاربر Zoom را در دست بگيرند. يکي ديگر از آسيب پذيريها به زوم اجازه ميدهد تا به MacOS دسترسي روت داشته باشد و اين در بهترين حالت يک سطح بالا از خطر است.
دادخواست اقدام درجه يک ثبت شد
دادخواستي با اقدام طبقاتي عليه اين شرکت انجام شد و ادعا شد که زوم با عدم کسب رضايت مناسب از کاربران در مورد انتقال دادههاي زوم خود به فيسبوک، قانون جديد محافظت از داده کاليفرنيا را نقض کرده است.
۱ آوريل / استفاده از Zoom در Space X ممنوع شد
به نقل از رويترز، شرکت موشکي SpaceX با استناد به "نگرانيهاي جدي در مورد حفظ حريم خصوصي و امنيتي"، کارمندان را از استفاده از زوم منع کرد.
نقصهاي امنيتي بيشتري کشف شد
دوباره نقص امنيتي مضر ديگري در زوم کشف شد که باعث شده آدرس ايميل کاربران و عکسها به غريبهها ارسال شود.
عذرخواهي از سوي يوان
يوان در پستي در وبلاگ خود عذرخواهي عمومي را صادر کرد و قول داد که امنيت را بهبود بخشد. اين بهبود امنيت شامل فعال کردن اتاق انتظار و محافظت از رمز عبور براي همه تماسها ميشود.
۲ آوريل/ ابزار خودکار ميتواند جلسات زوم را پيدا کند
محققان امنيتي فاش کردند که يک وسيله خودکار قادر به يافتن حدود ۱۰۰ شناسه جلسات زوم در يک ساعت بوده و اطلاعاتي را براي تقريباً ۲۴۰۰ جلسه زوم در يک روز اسکن و جمعآوري ميکند؛ همانطور که توسط برايان کربس، کارشناس امنيتي گزارش داده شده بود.
ويژگي داده کاوي (Data-mining) کشف شد
ويژگي داده کاوي (Data-mining) در زوم به برخي از کاربران اين امکان را ميدهد که به طور ناگهاني به دادههاي پروفايل LinkedIn در مورد ساير کاربران دسترسي داشته باشند.
۳ آوريل/ سوابق مکالمه تصويري روي وب قابل مشاهده است
تحقيقات اخير نشان داد که هزاران ضبط مکالمه ويدئويي زوم بدون محافظت و قابل مشاهده در وب به صورت باز باقي مانده است. اين تحقيقات تعداد زيادي از تماسهاي محافظت نشده شامل بحث در مورد اطلاعات شخصي شناسايي شده، مانند جلسات درماني خصوصي، تماسهاي آموزش تلفني، جلسات مربوط به مشاغل کوچک که در مورد صورتهاي مالي شرکت خصوصي و کلاسهاي مدرسه ابتدايي با اطلاعات دانشجويي در معرض ديد بودند، را کشف کرد.
زوم دوباره عذرخواهي ميکند
زوم تصريح کرد که رمزگذاري سفارشي انجام شده و ثابت شده است که اين شرکت در حال تغيير و بهبود طرح رمزگذاري خود بوده است. يوان در پاسخ مستقيم گفت: "ما تشخيص ميدهيم که ميتوانيم با طراحي رمزنگاري خود بهتر عمل کنيم. "
دادخواست اقدام درجه دوم تشکيل شد
براي به اشتراک گذاشتن اطلاعات شخصي کاربران با فيسبوک، دومين دادخواست عليه Zoom انجام شد.
۴ آوريل / عذرخواهي ديگر از سوي Zoom
اريک يوان، مدير عامل زوم در مصاحبهاي طولاني به يکي از خبرگزاريها گفت: "من واقعاً به عنوان مديرعامل دچار اشتباه شده ام و بايد اعتماد آنها را جلب کنيم. نبايد چنين اتفاقي بيفتد." اين فرد با بررسي اوضاع پيش آمده و لزوم پيشرفت و گسترش سريع اين برنامه به دليل شيوع ويروس کرونا از کاربران عذرخواهي کرد.
۵ آوريل/ تماسها به طور اشتباه به سرورهاي فهرست سفيد چيني انجام ميشود
در بيانيهاي، زوم اعتراف کرد که برخي تماسهاي ويديويي "به اشتباه" از طريق دو سرور ليست سفيد چيني در صورت عدم وجود انجام ميشوند.
کلام آخر
امنيت مهمترين و اصليترين حق يک کاربر فضاي مجازي است. هنگامي که يک نرمافزار نميتواند به پايهايترين نياز يک کاربر توجه کرده و آن را رفع کند بايد فکر ديگري براي عملکرد خود کند. اکنون زوم در حال بهتر کردن نرمافزار خود است اما اين مسئله ممکن است به شهرت اين برنامه لطمه بسيار جدي وارد کند. جلب اعتماد دوباره کاربران اصلا کار سادهاي نيست و بايد ديد آيا اين شرکت ميتواند اين کار را انجام دهد يا خير. در قسمت دوم گزارش به موشکافي روزهاي ۶ الي ۹ آوريل ميپردازيم.
بازار