اپلیکیشن ویدیو کنفرانس Zoom از نظر امنیت و حریم خصوصی فاجعه‌بار است!

اپلیکیشن ویدیو کنفرانس Zoom برای ارتباط‌ با تعداد زیادی کاربر به صورت همزمان، بهترین گزینه است. با این حال نباید از امنیت بسیار پایین برنامه زوم چشم‌پوشی کرد.

اکنون که به خاطر شیوع ویروس کرونا و اجبار برای رعایت فاصله اجتماعی، نمی‌توان با دیگران به صورت فیزیکی و رو در رو ارتباط برقرار کرد، ناچار به استفاده از اپلیکیشن‌های برگزاری ویدیو کنفرانس و پیام‌رسان‌های دارای قابلیت برقراری تماس تصویری هستیم. اگرچه برای کنفرانس ویدیویی، بیشتر کاربران اسکایپ را ابزاری مناسب قلمداد می‌کنند، اما در واقعیت، برای این کاربرد، این نرم افزار با Zoom قابل مقایسه نیست. البته باید پی امنیت بسیار پایین آن را به تن مالید!

در بررسی برنامه Zoom متوجه شدیم این یک پلتفرم بوده و به یک اپلیکیشن محدود نمی‌شود. برای گوشی‌های اندرویدی و آی او اسی، پنج اپلیکیشن مجزا وجود داشته و همه آن‌ها با دسکتاپ نیز همگام‌سازی می‌شوند. در قابلیت‌های فوق‌العاده و منحصربه‌فرد اپلیکیشن‌های ویدیو کنفرانس Zoom هیچ شکی نیست، اما برخی متخصصان فناوری اطلاعات، نه تنها آن را از از نظر امنیت و حفظ حریم خصوصی فاجعه‌بار خطاب کردند، بلکه در نهایت زوم را در دسته‌بندی بدافزارها قرار دادند!

بر اساس تحلیل SimilarWeb، طی یک ماه اخیر و در پی اجبار برای قرنطینه خانگی افراد در سراسر دنیا، ترافیک تبادل شده بر بستر پلتفرم ویدیو کنفرانس زوم در هر روز، نزدیک به 535 درصد افزایش پیدا کرد! این حجم زیاد از داده فرصت را به منظور ارزیابی امنیت این بستر دیجیتال فراهم کرد. برخی محققان در انتها، زوم را از نظر حریم خصوصی فاجعه‌بار خطاب کردند!

طبق ارزیابی‌های Sensor Tower، طی چند هفته اخیر، اپلیکیشن اصلی این پلتفرم برای آیفون بیشترین تعداد دانلود را توسط کاربران آمریکایی از اپ استور داشته است. افراد بلند مرتبه و رده بالایی نظیر نخست وزیر انگلستان، آقای بوریس جانسون، به منظور برقراری ارتباط با دیگران حین کار در منزل، به استفاده از برنامه کنفرانس ویدیویی Zoom رو آورده‌اند.

اپلیکیشن ویدیو کنفرانس Zoom از دید متخصصان

«به طور اساسی فاسد» و «فاجعه‌بار از نظر حریم خصوصی» القابی است که تعداد زیادی متخصص امنیت سایبری به پلتفرم زوم نسبت داده‌اند! روز دوشنبه گذشته، دادستان کل نیویورک نامه‌ای به شرکت Zoom.us ارسال کرد. در این نامه از آن‌ها درخواست شد راهکارهای خود برای برطرف کردن مشکلات امنیتی و همچنین پاسخ‌گویی به حجم بسیار بالای کاربران طی چند هفته اخیر را به طور واضح بیان کنند.

در این نامه، دادستان کل نیویورک اعلام کرد شرکت زوم، در برطرف کردن آسیب‌پذیری‌ها و رخنه‌های امنیتی پلتفرم خود خیلی آهسته عمل می‌کند. این رخنه‌های امنیتی به هکرها اجازه می‌دهد به راحتی به وب کم لپ تاپ و دسکتاپ و همچنین دوربین سلفی گوشی‌های هوشمند کاربران دست پیدا کرده و حریم خصوصی آن‌ها را به طور کامل لگد مال کنند.

یکی از سخنگویان Zoom اعلام کرد به زودی به نامه دادستان کل نیویورک پاسخ داده خواهد شد. وی مدعی شد زوم، به حریم خصوصی کاربرانش اهمیت زیادی و برای اعتماد آن‌ها به خود، ارزش زیادی قائل است. شرکت زوم در بیانیه‌ای اعلام کرد در جریان شیوع ویروس کرونا، همه تلاشش را برای متصل نگه داشتن بیمارستان‌ها، دانشگاه‌ها، مدارس و کسب و کارهای خصوصی به کار برده است.

روز پنجشنبه، یکی از سخنگویان شرکت توسعه‌دهنده اپلیکیشن ویدیو کنفرانس Zoom اعلام کرد آن‌ها پروژه توسعه قابلیت‌های جدید را متوقف کرده و همه منابع خود را به برطرف کردن مشکلات و رخنه‌های امنیتی که طی چند هفته اخیر انتقادات‌های زیادی در پی داشته‌اند، اختصاص خواهد داد.

مشکلات امنیتی برنامه کنفرانس ویدیویی زوم

در ادامه تصمیم داریم نگاهی به مشکلات امنیتی اساسی این پلتفرم بیندازید. در کارایی فوق‌العاده برنامه تماس تصویری و کنفرانس ویدیویی زوم هیچ شکی نیست، اما تا زمان برطرف شدن رخنه‌های امنیتی آن، باید با آگاهی به وجود این مشکلات امنیتی، از امکانات Zoom استفاده کنید.

زوم بمبینگ (Zoom-Bombing)

سه هفته پیش، پلیس اف بی آی اعلام کرد شکایت کاربران درباره های‌جک شدن ویدیوها، اتفاقی موسوم به زوم بمبینگ، در حال افزایش است. منظور از های‌جک شدن ویدیو، نفوذ هکرها به جلسه‌ها و کنفرانس‌های ویدیویی حین برگزاری آن‌ها است. هکرها در ادامه پیام‌هایی نژادپرستانه داده یا اعضای حاضر در کنفرانس را به موارد مختلف تهدید می‌کنند.

وقتی یک کاربر، یک اتاق جلسه داخل پلتفرم زوم ایجاد کرد، یک آدرس اینترنتی کوتاه، متشکل از یک سری عدد، در اختیارش قرار می‌گیرد. سایر افراد از طریق این URL قادر به یافتن اتاق کنفرانس و ورود به آن خواهند بود. بررسی‌های شرکت امنیتی Checkpoint نشان داد این آدرس اینترنتی با استفاده از یک سری ابزار، به راحتی توسط هکرها قابل حدس است.

شرکت Zoom اعلام کرد از جمله دلایل بروز این حادثه و ورود غیر منتظره هکرها به کنفرانس‌های ویدیویی، عدم آشنایی کاربران با این پلتفرم است. به همین دلیل شرکت آموزش‌هایی را برای کاربران ایجاد کرده و همچنان به لزوم فراگیری کامل قابلیت‌های زوم توسط کاربران تاکید خواهد کرد.

عدم رمزنگاری نقطه به نقطه

طبق یک گزارش Intercept شرکت توسعه‌دهنده اپلیکیشن ویدیو کنفرانس Zoom آن را قدرت گرفته از سیستم رمزنگاری انتها به انتها معرفی می‌کند، در حالی که این ادعا دروغی بیش نیست! به وسیله رمزنگاری نقطه به نقطه، تنها کاربران حاضر در یک مکالمه متنی، صوت یا تصویری محتواها را دریافت کرده و به خاطر رمز شدن داده‌ها حین ارسال و سپس رمزگشایی آن‌ها در مقصد، هکرها قادر به شنودشان نخواهند بود. در این حالت حتی شرکت توسعه‌دهنده برنامه نیز به داده رد و بدل شدن توسط کاربران دسترسی ندارد.

شرکت زوم، روز چهارشنبه گذشته به وسیله انتشار یک پست وبلاگی، ضمن عذرخواهی از کاربران اعلام کرد در حال حاضر امکان فراهم کردن قابلیت رمزنگاری انتها به انتها میسر نیست. این شرکت همچنین بابت گمراه شدن کابران به خاطر تصور پشتیبانی برنامه ویدیو کنفرانس Zoom از رمزنگاری انتها به انتها، از آن‌ها عذرخواهی کرد.

رخنه‌های امنیتی

طی چند هفته اخیر، افزایش شدید حجم ترافیک تبادل شده بر بستر پلتفرم زوم سبب شد رخنه‌های امنیتی آن، خود را به طور واضح نشان بدهند. در سال 2019 مشخص شد Zoom، به صورت مخفیانه روی گجت های کاربرانش یک وب سرور نصب می‌کند. این موضوع سبب خواهد شد کاربران، بدون کسب اجازه از آن‌ها، به یک مکالمه فرد به فرد یا گروهی دعوت شوند.

یک باگ دیگر هفته پیش کشف شد. این رخنه به هکرها اجازه می‌دهد به کامپیوترهای اپل کاربران با سیستم عامل‌های مک او اس نفوذ پیدا کرده و کنترل دوربین و میکروفون آن را به دست بگیرند.

شرکت زوم روز پنجشنبه اعلام کرد مشکل نفود به دستگاه‌های مک را حل کرده است. با این حال، تعدد رخنه‌های امنیتی در این پلتفرم سبب شده تعداد زیادی از متخصصان سایبری، اپلیکیشن ویدیو کنفرانس Zoom را به طور کامل یک بدافزار خطاب کنند! آرویند نارایانان (Arvind Narayanan)، یک دانشیار علوم کامپیوتر در دانشگاه پرینستون گفت:

بگذارید خیلی ساده بیان کنم؛ Zoom یک بد افزار است!

اقدامات نظارتی درون برنامه‌ای

ویژگی Attention Tracking زوم گله کاربران زیادی را در پی داشته است. این ویژگی سبب می‌شود برگزارکننده یک جلسه یا کنفرانس، در صورتی که یکی از کاربران پنجره اپلیکیشن Zoom را برای سی ثانیه یا بیشتر ترک کند، به موضوع پی ببرد.

البته در مقایسه با سایر مشکلات، کمتر می‌توان نسبت به این ویژگی ایراد گرفت. تلاش زوم فراهم کردن امکان ارتباط مجازی درست شبیه به تعاملات فیزیکی است. Attention Tracking سبب می‌شود کارفرمایان و معلمان، از توجه کامل کارکنان و دانش آموزان به جلسه اطمینان پیدا کنند. به این ترتیب فرد نمی‌تواند خود را در جلسه آنلاین حاضر نشان داده و در عین حال، در تمام مدت، داخل کامپیوتر مشغول به کار دیگری باشد!

فروش داده کاربران

طبق یک گزارش Motherboard مشخص شد زوم با اهداف مالی و برای تبلیغات، اطلاعات جمع‌آوری شده از کاربران نسخه آی او اس اپلیکیشن موبایل خود را به شرکت فیس بوک می‌فروشد، حتی اگر کاربر فاقد حساب کاربری در فیس بوک باشد.

با این حال زوم برخی قوانین داخلی خود را تغییر داد و سپس روز پنجشنبه اعلام کرد هرگز داده متعلق به کاربرانش را به هیچ شرکتی نفروخته و در آینده نیز تصمیم برای این کار ندارد. در هر صورت Motherboard روی ادعای خود تاکید داشته و در دادگاه کالیفرنیا، شکایتی علیه Zoom تنظیم کرده است.