هل تطبيق زووم Zoom آمن؟

اقرأ في هذا المقال


هل تطبيق زووم Zoom آمن؟

كشف جوناثان ليتشوه مهندس برمجيات يعمل في مشروع مفتوح المصدر المسمّى (Gradle) عن ثغرة تطبيق زووم، وذلك في أحد التدوينات في وقت سابق، وقال أنه يسمح لأي موقع ويب بالانضمام القسري إلى مستخدم معين في مكالمة زووم، مع تنشيط كاميرا الفيديو الخاصة به دون إذن المستخدم. علاوة على ذلك فقد سمحت مشكلة اختراق الخصوصية هذه لأي صفحة ويب بالدخول إلى جهاز (Mac) عن طريق ربط المستخدم بشكل متكرر بمكالمة غير مصرح بها.

صرّح زووم في بيان تم تقديمه أنّ استخدام خادم ويب محلي على أجهزة Mac ما هو إلا حل بديل للتغييرات التي تم تقديمها في متصفح الويب (Safari 12). وصفت الشركة ذلك بأنه حل مناسب لتجربة المستخدمين السابقة التي كانت ضعيفة، ممّا يتيح للمستخدمين عقد اجتماعات سلسة عن طريق نقرة واحدة فقط للانضمام، وهو الأمر الرئيسي الذي يميز منتجاتهم حسب قول الشركة، على الرغم من أن إلغاء تثبيت التطبيق لن يمنع استغلال هذه الثغرة الأمنية، إلا أن المبرمج جوناثان ليتشوه أشار إلى أنه يمكن للمستخدمين حماية أنفسهم عن طريق تعطيل قدرة Zoom على تشغيل كاميرا الويب عند الانضمام إلى اجتماع.

الثغرة كانت موجودة في تطبيق زوم المتوفّر لأجهزة آبل الذكيّة، وفيه كانت حزمة البرمجية تقوم بإرسال معلومات مثل نوع جهاز المُستخدم وهويته لشبكة فيسبوك، وهذا في الغالب لاستخدامه في تحليل البيانات وليس لجمع معلومات أكثر عن المُستخدمين، لأن الحزمة لا تجمع أي بيانات شخصيّة بحسب التحرّيات، ما الأمر الأكثر ريبة، فهو لجوء مُهندسي زوم لآلية مُلتوية في تثبيت التحديثات الجديدة للتطبيق على نظام (macOS)، وهي آلية تُستخدم من قِبل مُطوّري البرمجيات الخبيثة للتحايل على نظام الصلاحيات في حواسب آبل، الأمر الذي أقرّ به الرئيس التنفيذي لشركة زوم واعتذر عنه كذلك.
كما تم العثور على ثغرة أمنية في التطبيق عن طريق كاميرا الويب، وتم الإبلاغ في بداية الأمر عن كونها تؤثر فقط على إصدار (Mac) من البرنامج، لكن اكتُشف فيما بعد أنها تطال بشكل جزئي كل من نظامي (Windows) و(Linux) كذلك.

الصلاحيات التي يمكن الوصول لها بسبب الثغرة الأمنية:

يمكن للمخترقين إجبار المستخدمين على الانضمام إلى مكالمة فيديو دون إذنهم من خلال تطبيق زووم باستغلال الثغرة الأمنية، بالإضافة لتشغيل كاميرا الويب الخاصة بهم من خلال تضمين رابط زووم في موقع ويب أو إعلان، إضافة إلى ذلك لن يحتاج المستخدم حتى إلى تشغيل التطبيق؛ لأن خادم الويب زووم المحلي يعمل في خلفية جهاز ماك.

المصدر: Anyone for unintended ChatRoulette? Zoom installs hidden Mac web server to allow auto-join video conferencingZoom Review 2019 – Everything You Need to KnowZOOM Cloud Meetings


شارك المقالة: