باشگاه خبرنگاران/ در این گزارش مشکلات امنیتی برنامه Zoom و اتفاقات به وجود آمده پس از این مشکل را موشکافی می‌کنیم.

هم اکنون برنامه‌های مختلفی برای برقراری تماس و صوتی تصویری در بستر اینترنت وجود دارد. این برنامه‌ها اکنون طرفداران بسیاری دارند و کاربران به صورت روزانه از آن‌ها استفاده می‌کنند. یکی از برنامه‌های تماس تصویری نرم‌افزار Zoom است.

از زمان شیوع ویروس کرونا و خانه نشین شدن بسیاری از مردم جهان، بسیاری از افراد برای انجام کارهای روزمره خود از بستر اینترنت و نرم افزارهای اجتماعی استفاده می‌کنند. در این میان بسیاری از شرکت‌های کوچک و بزرگ جلسات خود را با استفاده از نرم افزارهای کنفرانس و تماس ویدیویی برگزار می‌کنند. در میان همه نرم‌افزارها، Zoom توانسته است تعداد کاربران بسیار زیادی را به سوی خود جلب کند. این نرم افزار در مدت زمان بسیار کوتاهی توانسته است به تعداد واقعا بالایی از کاربر روزانه دست پیدا کند

اما به تازگی اخباری در فضای مجازی منتشر شده است که نشان می‌دهد حریم خصوصی افراد برای مالکان این نرم افزار از پایین‌ترین اهمیت برخوردار است. مشکل از زمانی شروع شد که عده‌ای متوجه مشکلات امنیتی این نرم‌افزار شده و از مسئولان خواستند این مسئله را جدی بگیرند. در گزارشی که در ادامه مطالعه می‌کنید، در دو بخش و با روز دقیق مشکلات امنیتی نرم‌افزار Zoom را بررسی می‌کنیم. با موشکافی این مشکل قصد داریم تا همگی از اتفاقات اخیر مطلع شوند.

۲۶ مارس/ نرم‌افزار iOS برنامه Zoom داده‌های کاربر را به فیسبوک ارسال می‌کند

بررسی‌های یکی از خبرگزاری‌های فناوری نشان داد که برنامه Zoom در سیستم‌عامل iOS از طریق تعامل این برنامه با API Graph Facebook، داده‌های تجزیه و تحلیل کاربر را به فیسبوک ارسال می‌کند. جالب است بدانید که این اتفاق حتی برای کاربران زوم که حساب فیسبوک ندارند نیز رخ می‌دهد.

۲۷ مارس/ برنامه Zoom ویژگی جمع آوری داده‌های فیسبوک را حذف می‌کند

در پاسخ به نگرانی‌های مطرح شده از تحقیقات اخیر، زوم ویژگی جمع آوری داده‌های فیسبوک را از برنامه iOS خود حذف کرد و در بیانیه‌ای از اتفاقات پیش آمده بار دیگر عذرخواهی کرد. زوم در گزارشی گفت: "داده‌های جمع آوری شده توسط فیسبوک SDK شامل هیچ گونه اطلاعات شخصی کاربر نیست، بلکه بیشتر شامل اطلاعات مربوط به دستگاه‌های کاربران مانند نوع سیستم عامل و نسخه سیستم عامل، منطقه زمانی دستگاه، سیستم عامل دستگاه، مدل دستگاه و حامل، اندازه صفحه نمایش و پردازنده است. "

۳۰ مارس/ تحقیقات رهگیری: زوم آن طور که وعده داده شده از رمزگذاری End-to-End استفاده نمی‌کند

یک تحقیق نشان داد که داده‌های تماس زوم بدون رمزگذاری نهایی، به شرکت ارسال می‌شود. سخنگوی زوم گفت: "در حال حاضر، امکان رمزگذاری E2E برای جلسات ویدیویی زوم امکان پذیر نیست."

اشکالات بیشتر کشف شد

پس از کشف یک اشکال در زوم که با ویندوز در ارتباط بود، دو باگ دیگر توسط یک هکر سابق NSA کشف شد که یکی از آن‌ها می‌تواند به هکر‌های مخرب اجازه دهد کنترل میکروفون یا وب کم کاربر Zoom را در دست بگیرند. یکی دیگر از آسیب پذیری‌ها به زوم اجازه می‌دهد تا به MacOS دسترسی روت داشته باشد و این در بهترین حالت یک سطح بالا از خطر است.
دادخواست اقدام درجه یک ثبت شد

دادخواستی با اقدام طبقاتی علیه این شرکت انجام شد و ادعا شد که زوم با عدم کسب رضایت مناسب از کاربران در مورد انتقال داده‌های زوم خود به فیسبوک، قانون جدید محافظت از داده کالیفرنیا را نقض کرده است.

۱ آوریل / استفاده از Zoom در Space X ممنوع شد

به نقل از رویترز، شرکت موشکی SpaceX با استناد به "نگرانی‌های جدی در مورد حفظ حریم خصوصی و امنیتی"، کارمندان را از استفاده از زوم منع کرد.
نقص‌های امنیتی بیشتری کشف شد

دوباره نقص امنیتی مضر دیگری در زوم کشف شد که باعث شده آدرس ایمیل کاربران و عکس‌ها به غریبه‌ها ارسال شود.

عذرخواهی از سوی یوان

یوان در پستی در وبلاگ خود عذرخواهی عمومی را صادر کرد و قول داد که امنیت را بهبود بخشد. این بهبود امنیت شامل فعال کردن اتاق انتظار و محافظت از رمز عبور برای همه تماس‌ها می‌شود.

۲ آوریل/ ابزار خودکار می‌تواند جلسات زوم را پیدا کند

محققان امنیتی فاش کردند که یک وسیله خودکار قادر به یافتن حدود ۱۰۰ شناسه جلسات زوم در یک ساعت بوده و اطلاعاتی را برای تقریباً ۲۴۰۰ جلسه زوم در یک روز اسکن و جمع‌آوری می‌کند؛ همانطور که توسط برایان کربس، کارشناس امنیتی گزارش داده شده بود.

ویژگی داده کاوی (Data-mining) کشف شد

ویژگی داده کاوی (Data-mining) در زوم به برخی از کاربران این امکان را می‌دهد که به طور ناگهانی به داده‌های پروفایل LinkedIn در مورد سایر کاربران دسترسی داشته باشند.

۳ آوریل/ سوابق مکالمه تصویری روی وب قابل مشاهده است

تحقیقات اخیر نشان داد که هزاران ضبط مکالمه ویدئویی زوم بدون محافظت و قابل مشاهده در وب به صورت باز باقی مانده است. این تحقیقات تعداد زیادی از تماس‌های محافظت نشده شامل بحث در مورد اطلاعات شخصی شناسایی شده، مانند جلسات درمانی خصوصی، تماس‌های آموزش تلفنی، جلسات مربوط به مشاغل کوچک که در مورد صورت‌های مالی شرکت خصوصی و کلاس‌های مدرسه ابتدایی با اطلاعات دانشجویی در معرض دید بودند، را کشف کرد.

زوم دوباره عذرخواهی می‌کند

زوم تصریح کرد که رمزگذاری سفارشی انجام شده و ثابت شده است که این شرکت در حال تغییر و بهبود طرح رمزگذاری خود بوده است. یوان در پاسخ مستقیم گفت: "ما تشخیص می‌دهیم که می‌توانیم با طراحی رمزنگاری خود بهتر عمل کنیم. "

دادخواست اقدام درجه دوم تشکیل شد

برای به اشتراک گذاشتن اطلاعات شخصی کاربران با فیسبوک، دومین دادخواست علیه Zoom انجام شد.

۴ آوریل / عذرخواهی دیگر از سوی Zoom

اریک یوان، مدیر عامل زوم در مصاحبه‌ای طولانی به یکی از خبرگزاری‌ها گفت: "من واقعاً به عنوان مدیرعامل دچار اشتباه شده ام و باید اعتماد آن‌ها را جلب کنیم. نباید چنین اتفاقی بیفتد." این فرد با بررسی اوضاع پیش آمده و لزوم پیشرفت و گسترش سریع این برنامه به دلیل شیوع ویروس کرونا از کاربران عذرخواهی کرد.
۵ آوریل/ تماس‌ها به طور اشتباه به سرور‌های فهرست سفید چینی انجام می‌شود

در بیانیه‌ای، زوم اعتراف کرد که برخی تماس‌های ویدیویی "به اشتباه" از طریق دو سرور لیست سفید چینی در صورت عدم وجود انجام می‌شوند.

کلام آخر

امنیت مهم‌ترین و اصلی‌ترین حق یک کاربر فضای مجازی است. هنگامی که یک نرم‌افزار نمی‌تواند به پایه‌ای‌ترین نیاز یک کاربر توجه کرده و آن را رفع کند باید فکر دیگری برای عملکرد خود کند. اکنون زوم در حال بهتر کردن نرم‌افزار خود است اما این مسئله ممکن است به شهرت این برنامه لطمه بسیار جدی وارد کند. جلب اعتماد دوباره کاربران اصلا کار ساده‌ای نیست و باید دید آیا این شرکت می‌تواند این کار را انجام دهد یا خیر. در قسمت دوم گزارش به موشکافی روزهای ۶ الی ۹ آوریل می‌پردازیم.

در کانال آی‌تی و ™CanaleIT هم کلی عکس و ویدئوی دسته اول و جذاب داریم