تم العثور على ثغرةٍ أمنيةٍ في تطبيق Zoom الشهير الخاص بعمل الاجتماعات عن طريق كاميرا الويب، وتم الإبلاغ في بداية الأمر عن كونها تؤثر فقط على إصدار Mac من البرنامج، لكن اكتُشف لاحقًا أنها تطال بشكلٍ جزئيٍّ كلٍ من نظامي Windows و Linux أيضًا.

كشف مهندس البرمجيات جوناثان ليتشوه الذي يعمل في المشروع مفتوح المصدر المدعو بـ Gradle عن ثغرة Zoom وذلك في أحد التدوينات في وقتٍ سابقٍ، وقال “أنه يسمح لأي موقع ويب بالانضمام القسري إلى مستخدمٍ معينٍ في مكالمة Zoom، مع تنشيط كاميرا الفيديو الخاصة به دون إذن المستخدم”. علاوةً على ذلك فقد سمحت مشكلة اختراق الخصوصية هذه لأي صفحة ويب بالدخول إلى جهاز Mac عن طريق ربط المستخدم بشكلٍ متكررٍ بمكالمةٍ غير مصرحٍ بها.

أضاف جوناثان قائلًا “إذا قمت بتثبيت برنامج Zoom ثم قمت بإلغاء تثبيته، فلا يزال لديك خادم ويب محلي على جهازك سيعيد تثبيت برنامج Zoom نيابةً عنك، دون الحاجة إلى أي تفاعلٍ من جانب المستخدم أو القيام بأي زيارةٍ إلى صفحة ويب.1

تصريح Zoom لموقع الاخبار ZDNet

صرح Zoom في بيان تم تقديمه إلى ZDNet أن استخدام خادم ويب محلي على أجهزة Mac هو حلٌ بديلٌ للتغييرات التي تم تقديمها في متصفح الويب Safari 12. وصفت الشركة ذلك بأنه “حلٌ مناسبٌ لتجربة المستخدم الضعيفة السابقة، مما يتيح للمستخدمين عقد اجتماعاتٍ سلسةٍ عن طريق الانضمام بنقرةٍ واحدةٍ، وهو الأمر الرئيسي الذي يميز منتجاتنا”.

على الرغم من أن إلغاء تثبيت التطبيق لن يمنع استغلال هذه الثغرة الأمنية، إلا أن المبرمج جوناثان ليتشوه أشار إلى أنه يمكن للمستخدمين حماية أنفسهم عن طريق تعطيل قدرة Zoom على تشغيل كاميرا الويب عند الانضمام إلى اجتماع.2

كيفية عمل خادم Zoom وما توصل اليه جوناثان ليتشوه

يعمل خادم الويب الخاص بـ Zoom على جهاز Mac على المنفذ 19421، ووفقًا للتفاصيل فإن خادم الويب المثبت بواسطة Zoom (NASDAQ: ZM) يمكنه إعادة تثبيت التطبيق على جهاز Mac إذا قام المستخدم بإلغاء تثبيته من قبل، ويكون إعادة تثبيت التطبيق عرضةً لهذه الثغرة بشكلٍ خاص في حال كان هناك مواعيد تسجيلٍ منتهية الصلاحية مدرجةً داخل لائحة المواعيد الخاصة بالتطبيق.

تم تحديد تاريخٍ واحدٍ لانتهاء صلاحية التسجيل وذلك لموقع zoomgov.com في الأول من مايو 2019. ولو لم يقم جوناثان ليتشوه بالإخبار عن اكتشافه لـ ZOOM في تاريخ 26 مايو، كان تاريخ انتهاء صلاحية التسجيل سيسمح للهاكرز بتثبيت إصداراتٍ تالفةٍ من Zoom على أجهزة Mac الخاصة بهم.

بالإضافة إلى ذلك هناك اكتشافٌ آخر مهمٌ قام به ليتشوه يوضح أن خادم Zoom على نظام Mac ينتهك سياسة مشاركة المصادر المفتوحة من خلال إعادة البيانات المشفرة في أبعاد ملف صورةٍ رقميةٍ، بعد إجراء المزيد من البحوث تمكن جوناثان أيضًا من تجاوز خيار المستخدم لتشغيل الفيديو الخاص به لإجراء مكالمة Zoom (NASDAQ: ZM).

الصلاحيات التي وصل اليها الهاكرز بسبب الثغرة الأمنية

يمكن للهاكرز إجبار المستخدمين على الانضمام إلى مكالمة فيديو دون إذنهم، بالإضافة لتشغيل كاميرا الويب الخاصة بهم من خلال تضمين رابط Zoom في موقع ويب أو إعلان. علاوةً على ذلك لن يحتاج المستخدم حتى إلى تشغيل التطبيق نظرًا لأن خادم الويب Zoom المحلي يعمل في خلفية جهاز Mac.3

تحركات Zoom لمحاولة تصحيح الثغرة الامنية

في البداية قام Zoom بتصحيح قدرة الشخص المنشئ للاتصال على تشغيل كاميرا الفيديو للمشتركين، لكن تم التراجع عن هذا التصحيح من قبل الشركة في السابع من يوليو. كانت حلول الشركة لسهولة الاختراق هذه هي:

  • القيام بالتسجيل رقميًا على كل طلبٍ مقدمٍ إلى عميل.
  • قفل الطلب وبالتالي صنع علامة IP.

ومع ذلك كان الباحث قادرًا على تجاوز كل هذه الحلول.

استجابت شركة Zoom في بيانٍ لها وكان ردها كالتالي: “نحن نقدر العمل الشاق للباحث الأمني في تحديد المخاوف الأمنية المحيطة بمنصتنا”.

“لم نر في البداية أن خادم الويب أو وضع الفيديو يشكلان مصادر قلقٍ كبيرةٍ لعملائنا، بل شعرنا بالواقع أن هذه الأمور كانت ضروريةً لعملية الاتصال السلس لدينا، ولكننا قررنا إجراء بعض التحديثات لخدمتنا بعد سماع احتجاجاتٍ من قبل بعض مستخدميها ومجتمع الأمان خلال الـ 24 ساعة الماضية”.

أصدر Zoom الآن تحديثًا للتطبيق كي يمنع الهاكرز من الوصول إلى كاميرا الويب الخاصة بك.4

المراجع