أصبح Zoom مؤخرًا نظامًا أساسيًا لعقد مؤتمرات الفيديو (آسف Skype و Hangouts) نظرًا لأن المزيد من الأشخاص يعملون الآن عن بُعد أثناء ممارستهم للعزل الذاتي أثناء تأمين الفيروسات التاجية. ومع ذلك ، كان Zoom أيضًا غارقًا في بعض مشكلات الأمان المقلقة في الأيام القليلة الماضية. وعلى الرغم من تأكيد الشركة للمستخدمين أن النظام الأساسي آمن ، إلا أن هناك بعض الهفوات بسبب سوء إدارة بيانات المستخدم مما يمكن أن يكشف عن المعلومات الشخصية للمستخدمين. أيضًا ، يبدو أن Zoom يشير إلى أنه يوفر تشفيرًا شاملاً لكل شيء ، ولكن في الواقع ، يتم تشفير المحادثات النصية فقط من طرف إلى طرف على نظامه الأساسي.
حماقة Zoom ، مأساة المستخدم
أشار العديد من المستخدمين إلى أنه يمكنهم رؤية عنوان البريد الإلكتروني لأشخاص عشوائيين وحتى صورهم في ملفات تعريف Zoom الخاصة بهم. تعريض عنوان البريد الإلكتروني للغرباء هو دعوة مفتوحة لإرسال رسائل غير مرغوب فيها في بريدك الوارد ، ولكن هناك جانب أكثر إثارة للقلق هنا. يمكن للمرء بالفعل بدء مكالمة فيديو مع شخص عشوائي يظهر ملفه الشخصي في جهات الاتصال الخاصة به ، دون أن يعرفه بالفعل. فكيف حدث هذا؟
zoom_us لقد تلقيت للتو نظرة على الإصدار المجاني للاستخدام الخاص من Zoom وقمت بالتسجيل في بريدي الإلكتروني الخاص. لدي الآن 1000 اسم وعنوان بريد إلكتروني وحتى صور لأشخاص في دليل الشركة. هل هذا مقصود؟ #GDPR pic.twitter.com/bw5xZIGtSE
– جيرون ج.ف.لبون (JJVLebon) ٢٣ مارس ٢٠٢٠
يحتفظ Zoom في الواقع بشيء يسمى "دليل الشركة" حيث يتم سرد جميع عناوين البريد الإلكتروني التي تحمل نفس اسم النطاق (باستثناء العناوين العامة مثل Gmail و Yahoo) معًا. يبدو أن Zoom يدرك نهايات أسماء النطاقات المشابهة مثل الأشخاص الذين يعملون في نفس الشركة ، ولكن يبدو أن هذه الطريقة لها عيوبها الخاصة. إذا تمت إضافة عنوان بريدك الإلكتروني إلى أحد "دليل الشركة" ، ظنًا أنك زميل لمئات آخرين ، يمكن للغرباء العشوائيين رؤية صورك وحتى الاتصال بك.
هذه لقطة شاشة للمشكلة. اشترك هذا المستخدم بعنوان بريد إلكتروني شخصي ، ولكن Zoom يضيف تلقائيًا أي شخص آخر يستخدم نفس خدمة البريد الإلكتروني كإحدى جهات الاتصال الخاصة به
قال المستخدم "كل الأشخاص الذين لا أعرفهم بالطبع". https://t.co/VooUc2b7xF pic.twitter.com/JjSeXzjuSR
– جوزيف كوكس (josephfcox) ٣١ مارس ٢٠٢٠
عندما تم إعلام Zoom بهذه المشكلة ، أدرجت الشركة هذه النطاقات في القائمة السوداء. "يحتفظ Zoom بقائمة سوداء للنطاقات ويحدد بشكل استباقي المجالات المطلوب إضافتها. وفيما يتعلق بالمجالات المحددة التي أبرزتها في ملاحظتك ، فقد تم إدراجها الآن في القائمة السوداء ، حسبما نقل عن متحدث باسم Zoom قوله. علاوة على ذلك ، إذا تم اختراق عنوان بريدك الإلكتروني أيضًا بسبب قائمة خاطئة في دليل Zoom ، فيمكنك بالفعل طلب Zoom لإزالته. يقول Zoom على موقعه على الويب أنه يمكن للمالكين أو المسؤولين اختيار إيقاف تشغيل ميزة تضمين الدليل.
لا ، مكالمات الفيديو Zoom ليست مشفرة من طرف إلى طرف
يقول Zoom على موقعه على الويب: "يوفر حل Zoom وهندسة الأمان تشفيرًا من طرف إلى طرف وعناصر تحكم في الوصول للاجتماعات بحيث لا يمكن اعتراض البيانات أثناء النقل". البيان يجعل المرء يعتقد أن مكالمات Zoom مشفرة من طرف إلى طرف ، ولكن هذا ليس هو الحال بالفعل. "حاليًا ، لا يمكن تمكين تشفير E2E لاجتماعات فيديو Zoom.
تستخدم اجتماعات تكبير الفيديو مجموعة من TCP و UDP. تم نقل اتصالات TCP باستخدام TLS واتصالات UDP مشفرة باستخدام AES باستخدام مفتاح تم التفاوض عليه عبر اتصال TLS "، نقلت The Intercept عن متحدث باسم Zoom. المحتوى الوحيد الذي يتم تشفيره من طرف إلى طرف في Zoom هو النص في الدردشات.
وهذا يعني أن Zoom يمكنه الوصول إلى محتوى الفيديو والصوت غير المشفر لاجتماعات المستخدمين. هذا ليس تعريف التشفير من طرف إلى طرف. يكون التشفير التام عندما يتم الوصول إلى محتوى محادثة نصية أو محادثة وسائط متعددة وفك تشفيرها بواسطة المرسل والمستقبل لأن لديهم مفاتيح فك التشفير ، وليس مزود الخدمة نفسه.
هذا ما يحدث عندما تستخدم تطبيقات مثل Signal و WhatsApp ، ولكن هذا ليس هو الحال مع Zoom. بشكل عام ، لا يمكن لطرف ثالث التنصت على فيديو Zoom أو محادثة صوتية ، ولكن الشركة نفسها يمكنها الوصول إلى المحتويات. بالطبع ، تدعي Zoom أنها تلتزم بمعايير الخصوصية المعمول بها ، ولكن الطريقة التي توضح بها Zoom الجانب الأمني للمنصة على موقعها على الويب مضللة بعض الشيء.
