تیر ۲۴
دبیر خبر | ۲۴ فروردین ۱۳۹۹

اپلیکیشنZoom ازنظر امنیت و حریم خصوصی فاجعه‌بار است!

اپلیکیشن ویدیو کنفرانس Zoom برای ارتباط‌ با تعداد زیادی کاربر به‌صورت هم‌زمان، بهترین گزینه است. بااین‌حال نباید از امنیت بسیار پایین برنامه زوم چشم‌پوشی کرد.

به گزارش کارگروه امنیت سایبربان ؛ اکنون‌که به خاطر شیوع ویروس کرونا و اجبار برای رعایت فاصله اجتماعی، نمی‌توان با دیگران به‌صورت فیزیکی و رودررو ارتباط برقرار کرد، ناچار به استفاده از اپلیکیشن‌های برگزاری ویدیو کنفرانس و پیام‌رسان‌های دارای قابلیت برقراری تماس تصویری هستیم. اگرچه برای کنفرانس ویدیویی، بیشتر کاربران اسکایپ را ابزاری مناسب قلمداد می‌کنند، اما در واقعیت، برای این کاربرد، این نرم‌افزار با Zoom قابل‌مقایسه نیست. البته باید پی امنیت بسیار پایین آن را به تن مالید!

در بررسی برنامه Zoom متوجه شدیم این‌یک پلتفرم بوده و به یک اپلیکیشن محدود نمی‌شود. برای گوشی‌های اندرویدی و آی او اسی، پنج اپلیکیشن مجزا وجود داشته و همه آن‌ها با دسکتاپ نیز همگام‌سازی می‌شوند. در قابلیت‌های فوق‌العاده و منحصربه‌فرد اپلیکیشن‌های ویدیو کنفرانس Zoom هیچ شکی نیست، اما برخی متخصصان فناوری اطلاعات، نه‌تنها آن را ازنظر امنیت و حفظ حریم خصوصی فاجعه‌بار خطاب کردند، بلکه درنهایت زوم را در دسته‌بندی بدافزارها قراردادند!

بر اساس تحلیل SimilarWeb، طی یک ماه اخیر و در پی اجبار برای قرنطینه خانگی افراد در سراسر دنیا، ترافیک تبادل شده بر بستر پلتفرم ویدیو کنفرانس زوم در هرروز، نزدیک به ۵۳۵ درصد افزایش پیدا کرد! این حجم زیاد از داده فرصت را به‌منظور ارزیابی امنیت این بستر دیجیتال فراهم کرد. برخی محققان در انتها، زوم را ازنظر حریم خصوصی فاجعه‌بار خطاب کردند!

طبق ارزیابی‌های Sensor Tower، طی چند هفته اخیر، اپلیکیشن اصلی این پلتفرم برای آیفون بیشترین تعداد دانلود را توسط کاربران آمریکایی از اپ استور داشته است. افراد بلندمرتبه و رده بالایی نظیر نخست‌وزیر انگلستان، آقای بوریس جانسون، به‌منظور برقراری ارتباط با دیگران حین کار در منزل، به استفاده از برنامه کنفرانس ویدیویی Zoom رو آورده‌اند.

اپلیکیشن ویدیو کنفرانس Zoom از دید متخصصان

«به‌طور اساسی فاسد» و «فاجعه‌بار ازنظر حریم خصوصی» القابی است که تعداد زیادی متخصص امنیت سایبری به پلتفرم زوم نسبت داده‌اند! روز دوشنبه گذشته، دادستان کل نیویورک نامه‌ای به شرکت Zoom.us ارسال کرد. در این نامه از آن‌ها درخواست شد راهکارهای خود برای برطرف کردن مشکلات امنیتی و همچنین پاسخ‌گویی به حجم بسیار بالای کاربران طی چند هفته اخیر را به‌طور واضح بیان کنند.

در این نامه، دادستان کل نیویورک اعلام کرد شرکت زوم، در برطرف کردن آسیب‌پذیری‌ها و رخنه‌های امنیتی پلتفرم خود خیلی آهسته عمل می‌کند. این رخنه‌های امنیتی به هکرها اجازه می‌دهد به‌راحتی به وب کم لپ‌تاپ و دسکتاپ و همچنین دوربین سلفی گوشی‌های هوشمند کاربران دست پیداکرده و حریم خصوصی آن‌ها را به‌طور کامل لگدمال کنند.

یکی از سخنگویان Zoom اعلام کرد به‌زودی به نامه دادستان کل نیویورک پاسخ داده خواهد شد. وی مدعی شد زوم، به حریم خصوصی کاربرانش اهمیت زیادی و برای اعتماد آن‌ها به خود، ارزش زیادی قائل است. شرکت زوم در بیانیه‌ای اعلام کرد در جریان شیوع ویروس کرونا، همه تلاشش را برای متصل نگه‌داشتن بیمارستان‌ها، دانشگاه‌ها، مدارس و کسب‌وکارهای خصوصی به‌کاربرده است.

روز پنجشنبه، یکی از سخنگویان شرکت توسعه‌دهنده اپلیکیشن ویدیو کنفرانس Zoom اعلام کرد آن‌ها پروژه توسعه قابلیت‌های جدید را متوقف کرده و همه منابع خود را به برطرف کردن مشکلات و رخنه‌های امنیتی که طی چند هفته اخیر انتقادات‌های زیادی در پی داشته‌اند، اختصاص خواهد داد.

مشکلات امنیتی برنامه کنفرانس ویدیویی زوم

در ادامه تصمیم داریم نگاهی به مشکلات امنیتی اساسی این پلتفرم بیندازید. در کارایی فوق‌العاده برنامه تماس تصویری و کنفرانس ویدیویی زوم هیچ شکی نیست، اما تا زمان برطرف شدن رخنه‌های امنیتی آن، باید با آگاهی به وجود این مشکلات امنیتی، از امکانات Zoom استفاده کنید.

زوم بمبینگ (Zoom-Bombing)

سه هفته پیش، پلیس اف بی آی اعلام کرد شکایت کاربران درباره های‌جک شدن ویدیوها، اتفاقی موسوم به زوم بمبینگ، در حال افزایش است. منظور از های‌جک شدن ویدیو، نفوذ هکرها به جلسه‌ها و کنفرانس‌های ویدیویی حین برگزاری آن‌ها است. هکرها در ادامه پیام‌هایی نژادپرستانه داده یا اعضای حاضر در کنفرانس را به موارد مختلف تهدید می‌کنند.

وقتی یک کاربر، یک اتاق جلسه داخل پلتفرم زوم ایجاد کرد، یک آدرس اینترنتی کوتاه، متشکل از یک سری عدد، در اختیارش قرار می‌گیرد. سایر افراد از طریق این URL قادر به یافتن اتاق کنفرانس و ورود به آن خواهند بود. بررسی‌های شرکت امنیتی Checkpoint نشان داد این آدرس اینترنتی با استفاده از یک سری ابزار، به راحتی توسط هکرها قابل حدس است.

شرکت Zoom اعلام کرد ازجمله دلایل بروز این حادثه و ورود غیرمنتظره هکرها به کنفرانس‌های ویدیویی، عدم آشنایی کاربران با این پلتفرم است. به همین دلیل شرکت آموزش‌هایی را برای کاربران ایجاد کرده و همچنان به لزوم فراگیری کامل قابلیت‌های زوم توسط کاربران تأکید خواهد کرد.

عدم رمزنگاری نقطه‌به‌نقطه

طبق یک گزارش Intercept شرکت توسعه‌دهنده اپلیکیشن ویدیو کنفرانس Zoom آن را قدرت گرفته از سیستم رمزنگاری انتها به انتها معرفی می‌کند، درحالی‌که این ادعا دروغی بیش نیست! به‌وسیله رمزنگاری نقطه‌به‌نقطه، تنها کاربران حاضر در یک مکالمه متنی، صوت یا تصویری محتواها را دریافت کرده و به خاطر رمز شدن داده‌ها حین ارسال و سپس رمزگشایی آن‌ها در مقصد، هکرها قادر به شنودشان نخواهند بود. در این حالت حتی شرکت توسعه‌دهنده برنامه نیز به داده ردوبدل شدن توسط کاربران دسترسی ندارد.

شرکت زوم، روز چهارشنبه گذشته به‌وسیله انتشار یک پست وبلاگی، ضمن عذرخواهی از کاربران اعلام کرد در حال حاضر امکان فراهم کردن قابلیت رمزنگاری انتها به انتها میسر نیست. این شرکت همچنین بابت گمراه شدن کاربران به خاطر تصور پشتیبانی برنامه ویدیو کنفرانس Zoom از رمزنگاری انتها به انتها، از آن‌ها عذرخواهی کرد.

رخنه‌های امنیتی

طی چند هفته اخیر، افزایش شدید حجم ترافیک تبادل شده بر بستر پلتفرم زوم سبب شد رخنه‌های امنیتی آن، خود را به‌طور واضح نشان بدهند. در سال ۲۰۱۹ مشخص شد Zoom، به‌صورت مخفیانه روی گجت های کاربرانش یک وب سرور نصب می‌کند. این موضوع سبب خواهد شد کاربران، بدون کسب اجازه از آن‌ها، به یک مکالمه فردبه‌فرد یا گروهی دعوت شوند.

یک باگ دیگر هفته پیش کشف شد. این رخنه به هکرها اجازه می‌دهد به کامپیوترهای اپل کاربران با سیستم‌عامل‌های مک او اس نفوذ پیداکرده و کنترل دوربین و میکروفون آن را به دست بگیرند.

شرکت زوم روز پنجشنبه اعلام کرد مشکل نفود به دستگاه‌های مک را حل کرده است. بااین‌حال، تعدد رخنه‌های امنیتی در این پلتفرم سبب شده تعداد زیادی از متخصصان سایبری، اپلیکیشن ویدیو کنفرانس Zoom را به‌طور کامل یک بدافزار خطاب کنند! آرویند نارایانان (Arvind Narayanan)، یک دانشیار علوم کامپیوتر در دانشگاه پرینستون گفت:

بگذارید خیلی ساده بیان کنم؛ Zoom یک بدافزار است!

اقدامات نظارتی درون برنامه‌ای

ویژگی Attention Tracking زوم گله کاربران زیادی را در پی داشته است. این ویژگی سبب می‌شود برگزارکننده یک جلسه یا کنفرانس، درصورتی‌که یکی از کاربران پنجره اپلیکیشن Zoom را برای سی ثانیه یا بیشتر ترک کند، به موضوع پی ببرد.

البته در مقایسه با سایر مشکلات، کمتر می‌توان نسبت به این ویژگی ایراد گرفت. تلاش زوم فراهم کردن امکان ارتباط مجازی درست شبیه به تعاملات فیزیکی است. Attention Tracking سبب می‌شود کارفرمایان و معلمان، از توجه کامل کارکنان و دانش آموزان به جلسه اطمینان پیدا کنند. به‌این‌ترتیب فرد نمی‌تواند خود را در جلسه آنلاین حاضر نشان داده و درعین‌حال، در تمام مدت، داخل کامپیوتر مشغول به کار دیگری باشد!

فروش داده کاربران

طبق یک گزارش Motherboard مشخص شد زوم با اهداف مالی و برای تبلیغات، اطلاعات جمع‌آوری‌شده از کاربران نسخه آی او اس اپلیکیشن موبایل خود را به شرکت فیس بوک می‌فروشد، حتی اگر کاربر فاقد حساب کاربری در فیس‌بوک باشد.

بااین‌حال زوم برخی قوانین داخلی خود را تغییر داد و سپس روز پنجشنبه اعلام کرد هرگز داده متعلق به کاربرانش را به هیچ شرکتی نفروخته و در آینده نیز تصمیم برای این کار ندارد. درهرصورت Motherboard روی ادعای خود تأکید داشته و در دادگاه کالیفرنیا، شکایتی علیه Zoom تنظیم کرده است.

منبع: گجت نیوز

نظرات