أهم ثغرات برنامج زوم وأخطرها
تم التدقيق بواسطة: فريق أراجيك
مع كلّ الزخم الذي اكتسبته منصّة زوم مؤخّرًا، بدا وأنّ شعبيّتها المتزايدة جعلتها ـ وللأسف ـ تغدو منصّةً غير آمنةٍ على الرغم من تعقيد بنائها، ولكن الحقّ يُقال، فأغلب البرامج المعقدة لديها مشاكل متعلّقة بالأمان. اليوم، أعربت الكثير من الدول عن قلقها بشأن أمان الخدمة، خصوصًا بعد اكتشاف فيض من ثغرات برنامج زوم ولفتراتٍ متلاحقةٍ، حتّى أن بعضها قام بحظر الخدمة ـ سواء بشكلٍ جزئيٍّ أو نهائيٍّ ـ والحديث هنا عن ألمانيا وسنغافورة وتايوان، وغيرها من البلدان.
تعريف برنامج أو منصّة زوم
تطبيق أو منصّة زوم (Zoom) أحد أهم برامج المكالمات الفيديويّة، والذي يُستخدم خاصةً لعقد مؤتمرات العمل، والاجتماعات، والمحاضرات عبر الإنترنت، حيث أنه يسهّل التواصل بين المشاركين في الاجتماع بسبب جودة مكالمة الفيديو والصوت وسهولة استخدامه، وقد زاد عدد مستخدميه بشكلٍ كبيرٍ في الآونة الأخيرة بعد التزام الحجر الصحيّ، حيث أجبر فيروس كورونا الجديد ملايين الناس حول العالم على البقاء في منازلهم والعمل عبر الإنترنت ليرتفع عدد مستخدمي Zoom من 10 مليون في ديسمبر الماضي 2019، إلى 300 مليون في أبريل الحالي.
أبرز ثغرات برنامج زوم المكتشَفة حتى اليوم
- اختراق الفيديوهات المخزّنة سحابيًّا:
تمكّن أحد الباحثين في مجال الأمن الرقمي من اكتشاف ثغرتين أمنيتين هامتين تتعلّقان بخصوصيّة برنامج Zoom؛ حيث استطاع باستخدام أحد برامج التهكير (استغلال الثغرات) إيجاد طريقةٍ للوصول إلى مقاطع فيديو خاصة بإحدى الشركات وتنزيلها، حيث كانت قد سُجلت سابقًا وخزِّنت سحابيًّا برابطٍ غير آمنٍ، كما وجد أن مقاطع الفيديو الخاصة بالمستخدم، والتي تمّ تسجيلها سابقًا تبقى متواجدةً في التخزين السحابي لساعاتٍ، حتى بعد حذفها من قبل المستخدم.
ولمنع استغلال ثغرات برنامج زوم هذه، قامت الشركة بتطبيق تحديثاتٍ عدّة، وأيضًا تغيير إعدادات التسجيل الافتراضيّة الخاصة بالشركة في التخزين السحابي لتصبح على شكل طلبٍ من المستخدم أن يقوم بإضافة كلمة مرورٍ إلى ملف الفيديو قبل رفعه، ولتعزيز الأمان، قامت الشركة أيضًا بتطبيق كلمات مرورٍ معقّدة لجميع التسجيلات المستقبليّة التي ستُخزّن سحابيًّا، ومنذ الآن، تم تشغيل إعدادات الحماية بواسطة كلمات المرور بشكلٍ افتراضيٍّ.
مع كل إجراءات الحماية تلك، قد تظل مقاطع الفيديو التي قد تمّ تحميلها سابقًا عرضةً للاستغلال من قبل أشخاص غير مصرّحٍ لهم، وذلك عن طريق روابط المشاركة سابقًا، لذلك نصحت الشركة المستخدمين بأخذ الحيطة والحذر، وإعادة تقييم إعدادات الخصوصيّة لجميع مقاطع الفيديو التي تم تحميلها قبل التحديث الذي أجرته.
بعدها أعلنت الشركة عن إعادة تجديد المكافأة لمن يكتشف خللًا أمنيًّا جديدًا، وهذا يسمح للقراصنة الأخلاقيّين (White Hat Hackers) بالمساعدة في البحث والكشف عن العيوب الأمنيّة الموجودة ضمن التطبيق..
- تسريب البيانات من زوم إلى فيسبوك:
كانت هذه إحدى أكثر ثغرات برنامج زوم غرابة، حيث وجد الباحث جو كوكس (Joe Cox) ثغرةً تشير إلى تسرّب المعلومات الشخصيّة من برنامج Zoom في أجهزة iOS إلى Facebook – حتى لو لم يكن الشخص يملك حسابًا على فيسبوك - وأبلغ عنها، وعلى الفور تصرفت شركة Zoom، حيث قامت بإزالة ميزة تسجيل الدخول باستخدام Facebook، أي سحبت حزمة أدوات تطوير البرمجيات في فيسبوك (Facebook SDK) من تطبيقها على أنظمة iOS الخاصّة بأجهزة iPhone وiPad الذكية من Apple، وأكدّت الشركة أن تسريب هذه المعلومات لم يكن مقصودًا، والأهم أن المعلومات التي تسرّبت لم تكن شخصيّةً كأسماء المستخدمين أو كلمات المرور أو أرقام الهواتف، بل اقتصرت فقط على معلوماتٍ حول الهواتف والأجهزة اللّوحيّة مثل حجم الشاشة أو مساحة التخزين..
- تضليل زوم حول التشفير End-to-End:
الباحثان ميتشا لي (Micha Lee)، ويائيل جراور (Yael Grauer) اكتشفا أيضًا نوعًا من التضليل الذي استخدمته شركة Zoom؛ حيث أدّعت أنّ اتصالات واجتماعات خدمتها مشفّرة باستخدام التشفير الشامل (End to End، أو اختصارًا E2E) ممّا يجعل من المستحيل على أي شخصٍ أو حتى الشركة نفسها التجسسّ عليها، لكن تبيّن أنها تستخدم نوعًا آخر من التشفير يُدعى بتشفير النقل (Transport Encryption)؛ الذي يمكّن الشركة من فك تشفير محتوى المكالمات أو الاجتماعات، ولكن الشركة ردّت على هذه الإدّعاءات بشكلٍ مقتضبٍ فقط، فحواه بأنها تأخذ أمن جميع مستخدميها على محمل الجد..
- سلوك غير محبَّذ في التثبيت على أنظمة macOS:
ظهرت أيضًا مشكلةٌ في مثبت برنامج Zoom، بالتحديد في أنظمة macOS على حواسيب Apple، والذي كان يستحوذ على امتيازات المسؤول أو الجذر (Root) في نظام التشغيل من أجل تنفيذ عمليّة تثبيت البرنامج على الحاسوب. إنّ إساءة استخدام مثل هذه الميزات تمكّن من تثبيت برامج بدون علم المستخدم، وحتى الوصول إلى كاميرا الويب والميكرفون.
- ثغرة قصف زوم (Zoombombing):
تعتبر من أكثر ثغرات برنامج زوم إزعاجًا، وعُرفت باسم Zoombombing (هجوم زوم)؛ حيث يمكن لأشخاصٍ مجهولين أن يعثروا عبر الإنترنت على أرقام المعرّف الخاص (ID) باجتماعات Zoom أو يخمّنوها، ممّا يمكّنهم من الدخول إلى الاجتماعات غير المرحّب بهم فيها، وترك تعليقات مزعحة ومسيئة، أو حتى مشاركة صور أو وسائط باستخدام ميزة مشاركة الشاشة..