🤟🏼 🤾🏼 👰🏿 Zoom - إهمال عادي أم تجسس مستهدف؟ 🙎🏼 👨🏽‍🤝‍👨🏼 🐘

في خضم فترة من العزلة الذاتية ، نما تطبيق المؤتمر الأمريكي الشهير Zoom ، الذي ازدادت شعبيته بسبب الانتقال الهائل إلى العمل عن بعد والتدريب ، بعشرين مرة خلال الشهر الماضي ، وأصبح محور الاهتمام ، وأصبح Zoom المركز الأول الواثق في الولايات المتحدة من حيث التنزيلات . ومع ذلك ، فقد جذب الانتباه ليس فقط مع زيادة عدد المستخدمين ، ولكن مع الفضائح المتعلقة بالتسرب الهائل لبيانات الشركات والبيانات الشخصية لمستخدمي Zoom في الشبكة الاجتماعية Facebook ، بالإضافة إلى الآلاف من سجلات مؤتمرات الفيديو الشخصية التي تم دمجها في الوصول المفتوح على YouTube و Vimeo.

ما هو Zoom وكيف يعمل؟

الغرض الرئيسي من Zoom هو إجراء مؤتمرات الفيديو ، ويوفر التطبيق دعمًا لدفق الفيديو بجودة HD وفي نفس الوقت توصيل ما يصل إلى مائة مشارك في المحادثة. أيضًا ، يحب المستخدمون هذا البرنامج لإمكانية مشاركة الشاشة وإنشاء الدردشات ، حيث لا يمكنك فقط إرفاق العديد من المرفقات ، ولكن أيضًا العمل مع الخدمات السحابية الشائعة مثل Google Disc و Dropbox. بالإضافة إلى ذلك ، يتيح لك التطبيق فتح الوصول إلى شاشة الجهاز المحمول (وظيفة المشاركة). من بين الرقائق الإضافية ، هناك أيضًا ميزة "ارفع يدك" أثناء محادثة من أجل طرح سؤال.

ولكن ، على الرغم من الوظائف الجيدة ، فإن Zuma يواجه مشاكل كبيرة في ضمان خصوصية المستخدم. لذلك ، لا يدعم التطبيق تشفير البيانات من طرف إلى طرف ولديه ثغرات أمنية خطيرة أخرى نشأت لمجرد إضافة بعض الوظائف.

الحضور تتبع الحضور: أنا أتابعك

على سبيل المثال ، تتيح لك وظيفة تتبع الانتباه للحضور حساب أولئك الذين تشتت انتباههم عن المحادثة بسبب أمور غريبة. من الواضح أن هذا يبدو مفيدًا للمدراء التنفيذيين والمدربين في الشركة ، ولكن عيوب هذه الوظيفة أكثر خطورة ، نظرًا لأنها تستخدم أجهزة تتبع التتبع (البرامج النصية التي تقوم بالمراقبة عن بُعد لجميع المشاركين) ، والتي تسمح للبرنامج "بتجاوز إعدادات الأمان في المتصفح وإجراء مراقبة غير متسقة من قبل المستخدم وأفعاله من خلال كاميرا الويب "، والتي أثارت بشكل متكرر أسئلة من الخبراء حول حماية البيانات الشخصية.

بعد الاستماع إلى انتقادات الحضور والانتباه من قبل خبراء الأمن السيبراني ، قرر المطورون في Zoom Video Communications التخلص من هذه الميزة ، كما ورد على موقع التطبيق : "في 2 أبريل 2020 ، أزلنا ميزة تتبع انتباه المستخدم لضمان سلامة وخصوصية عملائنا" .

Facebook SDK: طرق طرق زوكربيرج

مشكلة أخرى كان على مطوري التطبيقات حلها من أجل استعادة ثقة المستخدم وهي أن Zoom يقوم تلقائيًا بنقل عدد من البيانات إلى Facebook ، والذي يحلل ويستخدم المعلومات التي تم تلقيها لأغراض إعلانية: وفقًا لـ DuckDuckGo (محرك بحث يعارض التتبع بيانات المستخدم) ، يتم وضع برامج تتبع الإعلانات على Facebook على 36 ٪ من جميع المواقع على الإنترنت ، وفي هذا المؤشر تأتي في المرتبة الثانية بعد Google بنسبة 85 ٪.

ما بيانات المستخدم التي أرسلها Zoom؟ بادئ ذي بدء ، وقت دخول التطبيق ، وموقع المستخدم ، ونوع الجهاز. من بين المعلومات المرسلة أيضًا معرف الإعلان ، وفقًا للمواقع ذات الصلة بـ Facebook التي تعرض الإعلانات المستهدفة للمستخدم.

لكن المشكلة التي واجهت مطوري Zoom هي أن تطبيق iOS أرسل بيانات "Facebook" ليس فقط عن المستخدمين الذين لديهم حسابات على هذه الشبكة الاجتماعية ، ولكن أيضًا عن أولئك الذين لم يتم تسجيلهم على Facebook على الإطلاق ، وقد تم كتابة هذا الأخير في اتفاقية المستخدم لم يكن بأي شكل من الأشكال ، أي حقيقة النقل غير المصرح به للمعلومات واضحة: اقرأ ، التجسس.

رد زوم على شكاوى المستخدمين ، وأزال المطورون رمز Facebook SDK من برنامجهم ، لكن الأمريكيين بدأوا في رفع دعاوى قضائية ضد الشركة بأعداد كبيرة ، متهمينها بانتهاك قوانين نقل البيانات المحلية. لم يأخذ أصحاب Zuma في الاعتبار شيئًا واحدًا بسيطًا: يتم تعطيل تتبع Facebook فقط بعد تحديث التطبيق ، لذلك كان على الشركة إلزام جميع عملائها باستخدام الإصدار الجديد من Zoom.

سرية؟ لا لم يسمع

إن إزالة تتبع انتباه الحاضرين و Facebook SDK من التطبيق جديرة بالثناء ، على الرغم من تأخرها ، مبادرات Zoom Video Communications ، لكن هذا لم يحل مشكلة الأمان: الحقيقة أن Zoom لديها عربة وعربة صغيرة.

لذا ، تنص سياسة خصوصية Zoom بشكل صريح على أن شركاء الإعلانات (على سبيل المثال ، إعلانات Google و Google Analytics) للخدمة يجمعون تلقائيًا "بعض المعلومات" عن المستخدمين عند استخدامهم منتجات الشركة. وأي نوع من المعلومات غير محدد. إليك ما يكتبه Doc Searls ، أحد باحثي أمن الكمبيوتر ، عن هذا:

"تعمل شركة Zoom على الإعلانات ، وفي أسوأ السيناريوهات: تعيش الشركة بعيدًا عن البيانات الشخصية المجمعة للمستخدمين. ولكن الأمر الأكثر رعبا هو حقيقة أن Zoom يستطيع جمع كمية كبيرة من البيانات الخاصة والحميمة (على سبيل المثال ، محادثة الطبيب مع المريض) ، ولا أحد من المشاركين في المحادثة على علم بذلك ". علاوة على ذلك: "إذا كان متصفحك يهتم بالخصوصية (على سبيل المثال ، Brave أو Firefox أو Safari) ، فمن المحتمل أن يمنع برامج تتبع الإعلانات أيضًا ، ولكنك لن تتمكن من تحديد تكبير ما إذا تم جمع بياناتك الشخصية وكيفية حدوثها." .

ثم يشير الأخصائي إلى أنه حتى وقت قريب لم يكن من الممكن في Zoom رفض جمع البيانات الشخصية الخاصة بك وبيعها إلى أطراف ثالثة (هناك انتهاك ليس فقط للسرية ، ولكن أيضًا للأمان):

يلخص الخبير ويوضح تعريفًا صارمًا لسياسة Zoom فيما يتعلق بالمستخدمين: "سياسة خصوصية Zoom الحالية تبدو أسوأ من" ليس لديك أي خصوصية هنا ، "نحن نفتح أعناقك الافتراضية لمصاصي الدماء الذين يمكنهم فعل أي شيء معهم ، مهما يريدون ". (حرفيا: نكشف رقابك الافتراضية لمصاصي الدماء الذين يمكنهم فعل ما يفعلون به ).

تحديث سياسة الخصوصية

لا تزال موجة من النقد تجبر Zoom Video Communications على مراجعة سياسة الخصوصية الخاصة بها ، وفي 29 مارس ظهرت نسخة محدثة من النص (https://zoom.us/privacy) ، والتي تنص صراحة في البداية على ما يلي: "نحن لا نبيع بياناتك الشخصية. سواء كنت شركة أو مؤسسة تعليمية أو مستخدمًا فرديًا ، فإننا لا نبيع بياناتك ".

النقطة المهمة التالية: "اجتماعاتك هي لك وحدك. نحن لا نتتبعها أو حتى نخزنها بعد الاجتماع ، ما لم يسجلها منظم المؤتمر ويحفظها. "

شيء آخر مثير للاهتمام: "يقوم Zoom بجمع بيانات المستخدم الضرورية فقط لتوفير خدمات Zoom لك ... على سبيل المثال ، نقوم بجمع معلومات مثل عنوان IP الخاص بالمستخدم ، بالإضافة إلى معلومات حول نظام التشغيل والجهاز ..."

وأخيرًا: "نحن لا نستخدم البيانات التي نتلقاها من استخدامك لبرامجنا لأي إعلان. نستخدم البيانات التي نتلقاها منك عندما تزور مواقعنا التجارية ، مثل zoom.us و zoom.com. يمكنك التحكم في إعدادات ملفات تعريف الارتباط الخاصة بك عندما تزور مواقعنا التجارية ".

سيكون من الممكن اختتام هذا: للقول أن الرجال رائعون ، والتوصية بالزوم المحدث لكل من يهتم بسلامتهم على الإنترنت ، ولكن هناك فارق بسيط هنا ، وعلى عكس النكتة المعروفة ، ولا حتى واحدة.

نقاط الضعف الأخرى

هناك مشكلة كبيرة تنتظر مستخدمي Windows ، معظمهم في العالم. اتضح أن Zoom يحول مسارات UNC إلى روابط ، أي مسارات ... إلى ملفات على Windows. (https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/). باستخدام مثل هذه الروابط التي تحتوي على صور وتسجيلات صوتية وملفات وسائط أخرى ، لن يكون من الصعب على المتسلل كسر التجزئة والوصول إلى بيانات اعتماد مستخدم Zoom. تدرك الشركة هذه الثغرة الأمنية ، ولكن حتى الآن لم يتم إدخال أي تصحيحات على رمز التطبيق.

في وقت سابق ، تلقت "Zoom" ضربة أخرى تحت أنفاسها من موقع تحقيق أخبار Intercept ، حيث ظهر مقال في 31 مارس أن مقاطع الفيديو في Zoom لا تحتوي على تشفير مناسب وأن الشركة نفسها يمكنها عرض أي جلسات اتصال لمستخدميها. ويؤدي الافتقار إلى التشفير الشامل إلى إمكانية تدخل الغرباء في المحادثات: في عام 2020 ، اكتسب ما يسمى "Zoombombing" شعبية كبيرة ، عندما "فتح" الغرباء فئات مختلفة ومؤتمرات الفيديو للشركات بهدف فكاهي وهو ترتيب "المزحة" وتحويل البث إلى فوضى ( بما في ذلك بث المحتوى الإباحي للجمهور بأكمله). من السهل تخمين أن مثل هذه السحوبات هي أكثر شيء غير ضار يمكن أن يحدث للمستخدمين في Zoom.

Zumovskaya "الفراولة" وإيلون مسك

في اليوم الآخر ، ذكرت الطبعة الأمريكية من صحيفة واشنطن بوست الآلاف من محادثات Zoom التي كانت في المجال العام ، والتي تم نشرها على YouTube و Vimeo. أفاد صحفيو المنشور ، بعد مشاهدة هذه المواد ، أن عددًا من المحادثات "التي تم دمجها" في الشبكة تحتوي على معلومات سرية: الأسماء وأرقام الهاتف وقوائم الوظائف والبيانات المالية للشركات الخاصة ، بالإضافة إلى البيانات الشخصية للأطفال الذين تم تسليط الضوء عليهم في الفصول عبر الإنترنت التي يتم الاحتفاظ بها على نطاق واسع الآن في جميع أنحاء العالم بسبب الحجر الصحي. في العديد من مقاطع الفيديو ، يتم إجراء محادثات حميمة وشخصية للغاية ويتم عرض العري (مثل ، على سبيل المثال ، مدرس يقوم بتدريس كيفية إزالة الشعر في إحدى الدردشات).

ويزداد الوضع سوءًا بسبب حقيقة أنه حتى السجلات المخفية يمكن مشاهدتها على خوادم Zuma نفسها: يمكن للمستخدمين الأذكياء فتح مقاطع فيديو عشوائية باستخدام الترقيم القياسي ، والذي يشير Zoom إلى جميع مواده. في الوقت نفسه ، ذكر العديد من الضحايا الذين ظهروا في الفيديو ، والذين تمكن مراسلو واشنطن بوست من التواصل معهم ، أنهم لم يتخيلوا حتى كيف يمكن جعل محادثاتهم الخاصة علنية.

حتى قبل الفضائح مع "تفريغ" الفيديو في الشبكة ، منع Ilon Mask موظفيه من استخدام Zoom. أشار رئيس شركتي SpaceX و Tesla إلى أن الخدمة بها مشكلات خطيرة تتعلق بالخصوصية والأمان ، وأوصت باستخدام البريد الإلكتروني والهاتف للاتصال المؤسسي. منع مديرو SpaceX وصول Zoom لموظفيهم في 28 مارس 2020.

وكالة ناسا وجوجل ضد الزوم

قالت المتحدثة باسم وكالة ناسا ستيفاني شييرهولز في نفس اليوم الذي منعت فيه وكالة الفضاء الأمريكية موظفيها من استخدام Zoom ، وفي 30 مارس أصدر فرع مكتب التحقيقات الفدرالي في بوسطن تحذيرًا بشأن استخدام Zoom: تم منع الموظفين من جعل الاجتماعات على الموقع عامة أو مشاركة أي روابط.

من آخر أخبار Zuma التي لم تكن ممتعة: تخلى Google عن تطبيق سطح المكتب Zoom. ذكرت وكالة رويترز أن جوجل حظرت استخدام التطبيق على أجهزة الكمبيوتر المحمولة لموظفيها منذ 8 أبريل ، مشيرة إلى مخاوف أمنية من Zoom. قال خوسيه كاستانيدا ، ممثل الشركة التي تدير أكبر محرك بحث في العالم: "في الآونة الأخيرة ، أبلغت خدمة الأمن لدينا الموظفين الذين يستخدمون برنامج Zoom Desktop Client بأن هذا البرنامج لن يكون مدعومًا على أجهزة كمبيوتر الشركة لأنه لا يفي بمعايير الأمان الخاصة بنا للتطبيقات التي يستخدمها موظفو الشركة. . ومع ذلك ، لا تزال Google تسمح باستخدام Zoom من خلال تطبيقات الجوال والمتصفحات " .

وعدوا بإصلاح ...

تدعي Zoom Video Communications أن مشاكل تسرب البيانات نشأت لأن خوادم التطبيقات لم تكن جاهزة لمثل هذا التدفق من المستخدمين خلال الشهر الماضي. حتى أن الرئيس التنفيذي للشركة ، إيريك يوان ، تحدث عن هذا بالتفصيل في مدونته وأضاف أن لديهم الكثير من العمل للقيام به لاستعادة ثقة الناس ( رابط ).

حسنا ، نتمنى للشباب حظا سعيدا!

Zoom - إهمال عادي أم تجسس مستهدف؟