بقلم توماس فولتين، الكاتب في أمن المعلومات لدي شركة إسيت ESET.
في الوقت الذي يحرص فيه الجميع على البقاء في المنزل في جهود مشتركة لاحتواء ومنع إنتشار فيروس كورونا المستجد (كوفيد-19)، تنتشر و تتوسع شعبية برامج الاتصال بالفيديو لأغراض العمل والتعليم والترفيه. من بين جميع أدوات الاتصال تلك التي ظهرت، برز منها برنامج المحادثة “زووم” Zoom.
ساعد الطلب المتزايد بسرعة بين الأشخاص والشركات على حد سواء على الكشف عن سلسلة من تحديات الخصوصية والأمن التي تواجه المنصة “زووم”، والتي يتم استخدامها الآن حتى للاجتماعات اليومية لحكومة المملكة المتحدة (على الرغم من أن وزارة الدفاع البريطانية تمنع موظفيها من استخدام التطبيق).
يواجه صانع التطبيق عاصفة من الانتقادات من جهات مختلفة، بما في ذلك المدافعون عن الخصوصية وخبراء الأمن والعديد من المدعين العامين في لولايات المتحدة الأمريكية ومجلس الشيوخ الأمريكي ومكتب التحقيقات الفدرالي. استمرت الأخبار السيئة عن مشاكل البرنامج في التراكم في الأيام الأخيرة، مما دفع الشركة إلى الرد.
واعتذر مؤسس الشركة والرئيس التنفيذي “إيريك س. يوان” عن المشكلات وحدد الإجراءات لتعزيز أمن وخصوصية “زووم”. وأعلن أيضًا عن تجميد الميزات لمدة 90 يومًا، مضيفًا أن الشركة كانت تحول جميع مواردها الهندسية إلى “التركيز على أكبر مشاكل الثقة والسلامة والخصوصية لدينا”.
في ما يلي ملخص لخمسة مشكلات رئيسية، كان على “زووم” معالجتها منذ الأسبوع الماضي:
• فشلت سياسة خصوصية “زووم”.. في الإشارة إلى أن إصدار iOS من التطبيق كان يرسل بيانات تحليلات إلى “الفيسبوك” حتى عندما لا يكون لدى المستخدمين حساب “فيسبوك”، وذلك وفقًا لتقرير Vice report الصادر في الأسبوع الماضي. أقرت الشركة بالمشكلة وأزالت مجموعة تطوير برامج فيسبوك (SDK) لنظام التشغيل iOS. لا يزال “زووم” يواجه دعوى قضائية جماعية في كاليفورنيا حول هذا الموضوع.
• على الرغم من الادعاءات بعكس ذلك… وفقًا لبحث أجرته The Intercept، فإن اجتماعات الفيديو والصوت الخاصة بالتطبيق لاتدعم التشفير الشامل. واعتذر “زووم” لاحقًا وأوضح أنه يستخدم تشفير النقل المعروف باسم TLS. والفرق الرئيسي هو أن هذا الأخير لا يضع اتصالات المستخدمين بعيدًا عن متناول الشركة.
• وجد أيضًا أن التطبيق يحتوي على العديد من الثغرات الأمنية، على الرغم من أنه تم إصلاحها جميعًا في وقت قصير. وجد مستخدم ويندوز أنه عرضة لخلل حقن مسار UNC الذي يمكن من كشف بيانات اعتماد تسجيل الدخول إلى ويندوز للافراد مما يؤدي إلى تنفيذ أوامر عشوائية على أجهزتهم. وهناك ثغرتين آخران يؤثران هذه المرة على مستخدم “زووم” عبر MacOS، بحيث يمكن للمهاجم السيطرة على جهاز الكمبيوتر الضعيف.
• أسقطت شركة “زووم” أيضًا خاصية “تتبع الحضور”، وهي ميزة مكّنت مضيف الاجتماع من التحقق مما إذا كان المشاركون ينتبهون بالفعل عندما يكون المضيف على وضعية مشاركة الشاشة.
• أصدر مكتب التحقيقات الفدرالي (FBI) تحذيرا من ظاهرة أطلق عليها ” Zoom-bombing” بعد تقارير متعددة عن قيام المتصيدون والمحتالين بغزو الاجتماعات الخاصة والصفوف المدرسية وعرض صور مزعجة.
من الممكن أن تؤثر هذه المشكلات على عدد كبير من الأشخاص، حيث شهدت المنصة زيادة من 10 ملايين إلى 200 مليون مستخدم يوميًا على مدار الأشهر الثلاثة الماضية. باعتراف “يوان” نفسه، لتحقق “زووم” نجاحا غير متوقع.
وقال: “لدينا الآن مجموعة كبيرة من المستخدمين لمنتجنا بشكل غير متوقع، مما يجعلنا أمام تحديات لم تكن في الحسبان عندما تم تصميم النظام الأساسي”.
خلال وقت العمل عن بُعد الحالي (ولا يتعلق الأمر بالمؤتمرات عبر الفيديو فقط)، يجب ألا نتجاهل جانب الخصوصية والأمن للأشياء. بغض النظر عن مدى البساطة والثراء في أي برنامج، فقد يجلب تهديدات جديدة ومعها تأتي مسؤوليات إضافية. تتضمن الإجراءات الأكثر فعالية التي يمكنك اتخاذها لحماية أمانك وخصوصيتك عند استخدام “زووم” ما يلي:
• حماية اجتماعاتك بكلمة مرور و / أو فحص المشاركين في الاجتماع بمساعدة ميزة “غرفة الانتظار”.
• تحديد مشاركة الشاشة على المضيف فقط.
• تشغيل أحدث إصدار من “زووم”.
• الامتناع عن مشاركة الروابط أو معرفات الاجتماعات على وسائل التواصل الاجتماعي.
• ضع في اعتبارك استخدام معرفات الاجتماعات بدلاً من الروابط عند دعوة مشاركين آخرين، فهناك زيادة في المحاولات الخبيثة تجاه برنامج زووم التي تسعى إلى الاستفادة من النجاح الغير متوقع للتطبيق.
