«زوم» بدافزار است

آی‌تی‌من- در یک ماه گذشته، بر اساس گزارش شرکت Similarweb، ترافیک روزانه صفحه دانلود نرم افزار زوم، یعنی Zoom.us به میزان 535 درصد رشد کرده است. اپلیکیشن آیفون این ابزار ویدیو کنفرانس هم چند هفته‌ای است که بیشترین میزان دانلود را به خود اختصاص داده است. حتی سیاستمداران و چهره‌های معروفی مانند بوریس جانسون، نخست وزیر انگلیس و آلن گرین‌اسپن، رییس سابق خزانه‌داری آمریکا نیز برای کار از خانه و ویدیو کنفرانس از زوم استفاده کرده‌اند.

اما جالب است بدانید که محققان امنیتی، نرم‌افزار زوم را «فاجعه حریم خصوصی» و «از اساس فاسد» می‌دانند؛ زیرا مواردی درباره سوء استفاده از داده‌های کاربران از سوی زوم مطرح شده است.

روز دوشنبه هفته گذشته، لتیشا جیمز (Letitia James)، دادستان عمومی نیویورک با ارسال نامه‌ای به زوم، از این شرکت خواست که تدابیر و اقدامات خود را برای رفع نگرانی‌های امنیتی و آمادگی برای رشد تعداد کاربران را تشریح کند.

جیمز در این نامه گفته بود که «زوم» در رفع آسیب‌پذیری‌های امنیتی که موجب می‌شود خرابکاران به وب‌کم کاربران دسترسی پیدا کنند، سرعت عمل لازم را نداشته است.

یک سخنگوی زوم روز چهارشنبه گذشته در این رابطه گفته است که این شرکت در حال برنامه‌ریزی برای ارسال اطلاعات مدنظر جیمز است. به گفته این سخنگو، برای زوم، امنیت، حریم خصوصی و اعتماد کاربران بسیار جدی است. وی افزود: در دوران پاندمی ویروس کرونا (کووید-19) ما شبانه‌روزی تلاش کرده‌ایم تا بیمارستان‌ها، دانشگاه‌ها، مدارس و سایر کسب‌وکارها در سراسر جهان در ارتباط بمانند و فعالیت آنها مختل نشود.

روز پنج‌شنبه نیز این شرکت اعلام کرد که تمامی فرایندهای توسعه امکاناتش را متوقف کرده و منابع مهندسی و فنی‌اش را به مسایل امنیتی و ایمنی اختصاص داده است.

اما زوم با چه مشکلاتی مواجه است؟ در ادامه به برخی از مسایل امنیتی این ابزار ویدیو کنفرانس می‌پردازیم.
 
رشد سریع Zoom Bombing
روز سی‌ام ماه مارس، پلیس فدرال آمریکا اعلام کرد که در خصوص موارد رو به افزایش های‌جک کردن ویدیو در زوم تحقیق می‌کند. ربایش ویدیو یا Video hijacking  که در زوم به آن Zoom-bombing می‌گویند، به این معنی است که هکرها وارد جلسات ویدیویی افراد می‌شوند و معمولا اقدام به تهدید یا دادن شعارهای افراطی یا نژادی می‌کنند.

دسترسی به جلسات زوم با یک آدرس اینترنتی عددی میسر می‌شود و شرکت امنیتی چک‌پوینت در ماه ژانویه گذشته با انتشار گزارشی نشان داد که این URL به سادگی قابل حدس زدن و تولید توسط هکرهاست. زوم البته در روزهای اخیر دستورالعملی درباره روش جلوگیری از ورود هکرها و میهمان‌های ناخواسته به جلسات ویدیویی منتشر کرده است. سخنگوی این شرکت نیز اعلام کرده که زوم سعی دارد از طریق انتشار پست‌های وبلاگی و برگزاری وبینار، کاربرانش را با روش‌های محافظتی آشنا کند.
 
فقدان رمزگذاری سرتاسری
زوم به دروغ درباره استفاده‌اش از رمزگذاری سرتاسری (end-to-end encryption) تبلیغات کرده است، درصورتی که به این سیستم رمزگذاری مجهز نیست.

رمزگذاری سرتاسری یک سیستم ارتباطی است که تنها افراد دو طرف ارتباط، قادر به خواندن پیام‌ها هستند. در این شیوه ارتباطی، شنود کلیدهایی که برای رمزگذاری مکالمه استفاده می‌شود برای هیچ فردی از جمله رساننده خدمات اینترنتی و ارائه دهندگان خدمات مخابراتی امکان‌پذیر نخواهد بود. در رمزگذاری سرتاسر از آنجا که هیچ شخص دیگری امکان کشف داده‌های در حال مبادله یا ذخیره را ندارد، امکان مراقبت و دستکاری غیرممکن است. به همین دلیل شرکت‌هایی که از شیوه رمزگذاری سرتاسر استفاده می‌کنند، نمی‌توانند پیام‌های مشتریان خود را به مقامات امنیتی ارائه دهند.

البته زوم روز چهارشنبه با انتشار یک پست وبلاگی اعتراف کرد که فعلا استفاده از این شیوه رمزگذاری روی این پلتفرم اجرایی نشده و بابت اینکه به دروغ چنین ادعایی شده بود، از کاربران عذرخواهی کرد.
 
آسیب‌پذیری‌های امنیتی
آسیب‌پذیری‌های امنیتی متعددی از گذشته تا کنون درباره زوم گزارش شده است. در سال 2019 مشخص شد که زوم یک وب‌سرور مخفی روی رو دستگاه کاربران نصب می‌کند که موجب می‌شود کاربران بدون اجازه به تماس‌های ویدیویی افزوده شوند. هفته گذشته نیز اشکالی نرم‌افزاری روی زوم کشف شد که به هکرها امکان می‌داد به دستگاه مک کاربران دسترسی پیدا کنند و بتوانند میکروفن او را شنود و وب کم او را روشن کنند.

شرکت زوم روز پنج‌شنبه گذشته اعلام کرد که با انتشار وصله‌ای، این مشکل امنیتی را برطرف کرده است؛ اما به گفته آرویند نارایانان، استادیار علوم کامپیوتر دانشگاه پرینستون، مشکلات متعدد امنیتی زوم در گذشته، موجب شده که این ابزار، عملا به یک بدافزار تبدیل شود. وی گفت: بگذارید ساده بگویم؛ زوم بدافزار است.
 
نظارت‌‌های درون اپلیکیشن
یکی از انتقاداتی که به زوم وارد است، این است که امکان attention tracking را فراهم کرده است، به این معنی که اگر یک کاربر به مدت 30 ثانیه یا بیشتر از محیط زوم خارج شود و روی صفحات دیگر کلیک کند، میزبان جلسه ویدویی می‌تواند بفهمد.

این ویژگی به درد مدیران و معلمان می‌خورد که اگر کارکنان یا دانش آموزان در حین جلسات ویدیویی کاری یا درسی، حواس‌شان جای دیگری باشد، متوجه شوند. اما به گفته منتقدان، این ویژگی حریم خصوصی را نقض می‌کند.
 
فروش داده‌های کاربران
گزارش سایت مادربورد نشان می‌دهد که زوم داده‌های کاربران iOS خود را با اهداف تبلیغاتی در اختیار فیس‌بوک قرار داده است؛ حتی اطلاعات کاربرانی را که اکانت فیس‌بوک نداشته‌اند.

زوم البته در واکنش به انتشار این گزارش، بخشی از سیاست‌های خود را تغییر داد و روز پنج‌شنبه نیز اعلام کرد: این شرکت هرگز اطلاعات کاربران را نفروخته و قصدی هم برای فروش داده‌های کاربران ندارد.

گزارش مادربورد به دادخواستی حقوقی در این باره اشاره می‌کند که هفته گذشته در دادگاه فدرال کالیفرنیا مطرح شده و زوم را به سهل‌انگاری در محافظت از داده‌های میلیون‌ها کاربر در این پلتفرم متهم می‌کند.