شیوع ویروس کرونا موجب شده که مردم خود را در خانهها قرنطینه کنند و به همین دلیل هم بسیاری از ارتباطات و فعالیتها به شکل آنلاین در جریان است. در این میان، ابزارهای آنلاین کنفرانس ویدیویی مانند زوم نیز با استقبال زیاد کاربران مواجه شدهاند و در عین حال، نگرانیهای امنیتی درباره این ابزارها نیز رو به فزونی است.
آیتیمن- در یک ماه گذشته، بر اساس گزارش شرکت Similarweb، ترافیک روزانه صفحه دانلود نرم افزار زوم، یعنی Zoom.us به میزان 535 درصد رشد کرده است. اپلیکیشن
آیفون این ابزار ویدیو کنفرانس هم چند هفتهای است که بیشترین میزان دانلود را به خود اختصاص داده است. حتی سیاستمداران و چهرههای معروفی مانند بوریس جانسون، نخست وزیر انگلیس و آلن گریناسپن، رییس سابق خزانهداری آمریکا نیز برای کار از خانه و ویدیو کنفرانس از زوم استفاده کردهاند.
اما جالب است بدانید که محققان امنیتی، نرمافزار زوم را «فاجعه حریم خصوصی» و «از اساس فاسد» میدانند؛ زیرا مواردی درباره سوء استفاده از دادههای کاربران از سوی زوم مطرح شده است.
روز دوشنبه هفته گذشته، لتیشا جیمز (Letitia James)، دادستان عمومی نیویورک با ارسال نامهای به زوم، از این شرکت خواست که تدابیر و اقدامات خود را برای رفع نگرانیهای امنیتی و آمادگی برای رشد تعداد کاربران را تشریح کند.
جیمز در این نامه گفته بود که «زوم» در رفع آسیبپذیریهای امنیتی که موجب میشود خرابکاران به وبکم کاربران دسترسی پیدا کنند، سرعت عمل لازم را نداشته است.
یک سخنگوی زوم روز چهارشنبه گذشته در این رابطه گفته است که این شرکت در حال برنامهریزی برای ارسال اطلاعات مدنظر جیمز است. به گفته این سخنگو، برای زوم، امنیت، حریم خصوصی و اعتماد کاربران بسیار جدی است. وی افزود: در دوران پاندمی
ویروس کرونا (کووید-19) ما شبانهروزی تلاش کردهایم تا بیمارستانها، دانشگاهها، مدارس و سایر
کسبوکارها در سراسر جهان در ارتباط بمانند و فعالیت آنها مختل نشود.
روز پنجشنبه نیز این شرکت اعلام کرد که تمامی فرایندهای توسعه امکاناتش را متوقف کرده و منابع مهندسی و فنیاش را به مسایل امنیتی و ایمنی اختصاص داده است.
اما زوم با چه مشکلاتی مواجه است؟ در ادامه به برخی از مسایل امنیتی این ابزار ویدیو کنفرانس میپردازیم.
رشد سریع Zoom Bombing
روز سیام ماه مارس، پلیس فدرال آمریکا اعلام کرد که در خصوص موارد رو به افزایش هایجک کردن ویدیو در زوم تحقیق میکند. ربایش ویدیو یا Video hijacking که در زوم به آن Zoom-bombing میگویند، به این معنی است که هکرها وارد جلسات ویدیویی افراد میشوند و معمولا اقدام به تهدید یا دادن شعارهای افراطی یا نژادی میکنند.
دسترسی به جلسات زوم با یک آدرس اینترنتی عددی میسر میشود و شرکت امنیتی چکپوینت در ماه ژانویه گذشته با انتشار گزارشی نشان داد که این URL به سادگی قابل حدس زدن و تولید توسط هکرهاست. زوم البته در روزهای اخیر دستورالعملی درباره روش جلوگیری از ورود هکرها و میهمانهای ناخواسته به جلسات ویدیویی منتشر کرده است. سخنگوی این شرکت نیز اعلام کرده که زوم سعی دارد از طریق انتشار پستهای وبلاگی و برگزاری وبینار، کاربرانش را با روشهای محافظتی آشنا کند.
فقدان رمزگذاری سرتاسری
زوم به دروغ درباره استفادهاش از رمزگذاری سرتاسری (end-to-end encryption) تبلیغات کرده است، درصورتی که به این سیستم رمزگذاری مجهز نیست.
رمزگذاری سرتاسری یک سیستم ارتباطی است که تنها افراد دو طرف ارتباط، قادر به خواندن پیامها هستند. در این شیوه ارتباطی، شنود کلیدهایی که برای رمزگذاری مکالمه استفاده میشود برای هیچ فردی از جمله رساننده خدمات اینترنتی و ارائه دهندگان خدمات مخابراتی امکانپذیر نخواهد بود. در رمزگذاری سرتاسر از آنجا که هیچ شخص دیگری امکان کشف دادههای در حال مبادله یا ذخیره را ندارد، امکان مراقبت و دستکاری غیرممکن است. به همین دلیل شرکتهایی که از شیوه رمزگذاری سرتاسر استفاده میکنند، نمیتوانند پیامهای مشتریان خود را به مقامات امنیتی ارائه دهند.
البته زوم روز چهارشنبه با انتشار یک پست وبلاگی اعتراف کرد که فعلا استفاده از این شیوه رمزگذاری روی این پلتفرم اجرایی نشده و بابت اینکه به دروغ چنین ادعایی شده بود، از کاربران عذرخواهی کرد.
آسیبپذیریهای امنیتی
آسیبپذیریهای امنیتی متعددی از گذشته تا کنون درباره زوم گزارش شده است. در سال 2019 مشخص شد که زوم یک وبسرور مخفی روی رو دستگاه کاربران نصب میکند که موجب میشود کاربران بدون اجازه به تماسهای ویدیویی افزوده شوند. هفته گذشته نیز اشکالی نرمافزاری روی زوم کشف شد که به هکرها امکان میداد به دستگاه مک کاربران دسترسی پیدا کنند و بتوانند میکروفن او را شنود و وب کم او را روشن کنند.
شرکت زوم روز پنجشنبه گذشته اعلام کرد که با انتشار وصلهای، این مشکل امنیتی را برطرف کرده است؛ اما به گفته آرویند نارایانان، استادیار علوم کامپیوتر دانشگاه پرینستون، مشکلات متعدد امنیتی زوم در گذشته، موجب شده که این ابزار، عملا به یک
بدافزار تبدیل شود. وی گفت: بگذارید ساده بگویم؛ زوم بدافزار است.
نظارتهای درون اپلیکیشن
یکی از انتقاداتی که به زوم وارد است، این است که امکان attention tracking را فراهم کرده است، به این معنی که اگر یک کاربر به مدت 30 ثانیه یا بیشتر از محیط زوم خارج شود و روی صفحات دیگر کلیک کند، میزبان جلسه ویدویی میتواند بفهمد.
این ویژگی به درد مدیران و معلمان میخورد که اگر کارکنان یا دانش آموزان در حین جلسات ویدیویی کاری یا درسی، حواسشان جای دیگری باشد، متوجه شوند. اما به گفته منتقدان، این ویژگی حریم خصوصی را نقض میکند.
فروش دادههای کاربران
گزارش سایت مادربورد نشان میدهد که زوم دادههای کاربران
iOS خود را با اهداف تبلیغاتی در اختیار
فیسبوک قرار داده است؛ حتی اطلاعات کاربرانی را که اکانت فیسبوک نداشتهاند.
زوم البته در واکنش به انتشار این گزارش، بخشی از سیاستهای خود را تغییر داد و روز پنجشنبه نیز اعلام کرد: این شرکت هرگز اطلاعات کاربران را نفروخته و قصدی هم برای فروش دادههای کاربران ندارد.
گزارش مادربورد به دادخواستی حقوقی در این باره اشاره میکند که هفته گذشته در دادگاه فدرال کالیفرنیا مطرح شده و زوم را به سهلانگاری در محافظت از دادههای میلیونها کاربر در این پلتفرم متهم میکند.