الثغرات الامنية في برنامج زوم والكشف عنها

الموسوعة » أمن وسلامة » الأمن والسلامة عند استخدام الانترنت » الثغرات الامنية في برنامج زوم والكشف عنها

ظهرت إلى الواجهة مؤخرًا الكثير من الأنباء حول الثغرات الامنية في برنامج زوم لمكالمات الفيديو والمؤتمرات عن بعد، والتي تكشّفت تزامنًا مع تكاثف حركة العمل من المنزل، إبان تفشّي جائحة فيروس كورونا الجديد عالميًّا.

زووم (Zoom) أحد الخدمات التي تتيح للمستخدمين إمكانية الاتصال عبر الفيديو أو الصوت أو كلاهما لعقد الاجتماعات والمؤتمرات عبر إجراء محادثاتٍ مباشرة، والتي يمكن تسجيلها لمشاهدتها لاحقًا، ومن أهم ميزات منصّة زووم لدينا:

  • الاجتماعات الثنائية: حيث يمكن لاثنين من المستخدمين إجراء عددٍ غير محدودٍ من الاجتماعات الثنائية عبر تطبيق زووم، حتى عند استخدامهم النسخة المجانية من البرنامج.
  • مؤتمرات الفيديو الجماعية: تتيح النسخة المجانية إجراء اجتماعات فيديو تضم 100 مشاركٍ وتستمر لمدّة 40 دقيقةً، وفي حال قام المستخدم بشراء إضافة Large Meeting، فإنّه يستطيع إجراء اجتماع فيديو يضم 500 مشاركٍ.
  • مشاركة الشاشة: تتيح هذه الخاصية للمستخدم إمكانية مشاركة شاشته مع الشخص أو المجموعة التي يتحدث معها ليتمكنوا من رؤية ما يراه سويّةً. §.

مستويات زووم

  • Zoom Free: وهو مستوى مفيد لأولئك الذين يعملون لوحدهم على الموقع أو مع واحدٍ أو اثنين من الأشخاص ممن هم على نفس الموقع، فمع الإصدار المجاني، يإمكان المستخدمين إجراء عددٍ غير محدودٍ من المؤتمرات، في حين أنّ الاجتماعات الجماعية بين مشاركين كثر تستمر لمدة 40 دقيقةً فقط.
  • Zoom Pro: ويعتبر هذا الإصدار جيدًا للاجتماعات التي تضم عددًا قليلًا من المشاركين، حيث تكلف هذه النسخة مضيف الاجتماع 14.99 دولارًا شهريًّا.
  • Zoom Business: وعادةً ما تميل إليه الشركات الصغيرة والمتوسطة، وتبلغ تكلفته 19.99 دولارًا شهريًّا، ويتمتع بميزاتٍ جيدةٍ كوضع علامةٍ على الاجتماعات الخاصة بالشركة كالعلامة التجارية لها أو عنوان URL، ونصوص الاجتماعات التي تم إجراؤها، بحيث تكون مسجلةً ومحفوظةً في السحابة.
  • Zoom Enterprise: ويتميز هذا الإصدار بمساحة تخزينٍ غير محدودةٍ للتسجيلات على السحابة، وخصومات جيدة على الندوات عبر الإنترنت، ولقاءات غرف زووم، مما يجعله خيارًا جيّدًا لأصحاب الشركات الكبيرة التي تضم 1000 موظفٍ أو أكثر، وتبلغ تكلفة هذه النسخة 19.99 دولارًا شهريًا. §.

أهمّ الثغرات الامنية في برنامج زوم

  • ثغرة Zoombombing:

هي عندما يعمد أحد الأشخاص غير المدعوين إلى الاجتماع إلى دخول المحادثة ومشاركة مواد إباحية أو صور مسيئة أو غير ذلك لإزعاج الحضور، وقد يعود ذلك إلى الثغرات الأمنية في البرنامج، أو بسبب قيام المضيف بالتعامل مع رابط الاجتماع بإهمالٍ ولامبالاة، مما يسمح لأي أحدٍ يجد الرابط بالانضمام إلى هذا الاجتماع. إلا أنّ الشركة المسؤولة عملت على استدراك هذا الأمر، وأعلنت في 5 إبريل 2020 عن مجموعةٍ من الميزات لتحسين ظروف الأمان، وتفادي الثغرات الامنية في برنامج زوم ببضع إجراءاتٍ، والتي يجب على المستخدم الذهاب إليها بعد تسجيل دخوله على الويب عبر نقره على الإعدادات الموجودة على يسار الصفحة، وهنا سيجد مجموعةً من الميزات التي قد ينبغي عليه تعطيلها، وهي:

  1. تضمين كلمة المرور في رابط الاجتماع للانضمام بنقرة واحدة: يجب على المستخدم تعطيل هذه الميزة؛ إذ أنّه بتمكينها سيستطيع أي شخص الانضمام إلى الإجتماع بمجرد نقره على الرابط.
  2. مشاركة الشاشة: هو الخيارالذي يسمح لمضيف الاجتماع أو المشاركين فيه بمشاركة شاشاتهم أثناء الاجتماع، ويؤدي تعطيل هذه الميزة إلى منع أي زائر غير مرغوب فيه من مشاركة محتوى غير مناسب على شاشته.
  3. التحكم عن بعد: إنّ تعطيل هذا الخيار يمنع المشاركين في الاجتماع من من التحكم عن بعد بنظام المستخدم الذي يقوم بمشاركة شاشته معهم.
  4. نقل الملفات:هذا الخيار مهم لمشاركة الملفات في غرفة الاجتماع؛ إذ يمكن للمستخدم تحديد خيار السماح بأنواع من الملفات المحددة فقط، أو تعطيل الخيار في حال لم يكن يحتاجه.
  5. الانضمام قبل المضيف: ما يسمح للمشاركين بالانضمام إلى الاجتماع، قبل دخول المضيف ويكون هذا الخيار معطلًا بشكل افتراضي.§
  • مشاكل في التشفير END-TO-END:

قد تكون هذه إحدى الثغرات الامنية في برنامج زوم الأكثر أهميّةً؛ فحسب ما كانت تدعيه زووم، فإنّ مكالمات الفيديو الخاصة بين المستخدمين تكون مشفرةً، ولا يمكن كشفها إلا من قبل أصحاب العلاقة، ومن ثم اعترفت الشركة أنّ مصطلح التشفير لا تقصد به ما يفهمه الباحثون الأمنيون؛ إلا أنّ زووم لا تقوم بفك تشفير محتويات الاجتماع إذا لم يقم المشاركون بتسجيل الاجتماع أو تفعيل ميزات “القائم على الاتصال”، وإنّ مصادر مثل The Intercept وThe CitizenLab أشارت إلى أنّ زووم تقوم باستخدام أحد أشكال التشفير التي تتيح لها تقنيًّا الوصول إلى المحتوى.

  • التوجيه المشكوك فيه:

هناك بعض الاتهامات التي وجهت إلى زووم حول إرسالها لبيانات المستخدم الموجودة على جهاز الكمبيوتر إلى الفيسبوك حتى لو لم يقم المستخدم بتسجيل الدخول إلى حساب الفيسبوك الخاص به.

  • احتمال الكشف عن محتوى الدردشات النصية:

للأسف، فإنّ الدردشات النصية داخل زووم ليست آمنةً دائمًا، فمثلًا؛ في حال قام مضيف الاجتماع بتسجيل اجتماعه عبر خيار التسجيل على الكمبيوتر (Record on this Computer)، سيقوم زووم بوضع أي دردشاتٍ أخرى خاصة قام بها المضيف مع أحد المشاركين ضمن ملف .TXT مع فيديو الاجتماع المسجل، وفي حال لم يدرك المضيف ذلك، وقام بمشاركة المجلد مع أشخاصٍ آخرين فسيتمكن هؤلاء من رؤية هذه الدردشات الخاصة.§.

224 مشاهدة