آسیب‌پذیری جدید Zoom داده‌های خصوصی را در اختیار افراد غریبه قرار می‌دهد

همه‌گیری ویروس کرونا باعث شده است تا شرکت‌هایی به همکاری کاری و برنامه‌های ویدئو کنفرانس مانند Slack و Zoom متکی باشند. در حالی که زوم از شهرت جدید خود لذت می برد، این شرکت نیز هدف حملات بوده و با آسیب پذیری ها و نقض های امنیتی مقابله می کند.

اوایل امروز ما گزارش در مورد یک آسیب‌پذیری امنیتی که به هر کسی که با او چت می‌کنید اجازه می‌دهد اعتبار ورود به ویندوز شما را بدزدد. اکنون، گناه گزارشی منتشر کرده است که نقص دیگری را در Zoom شناسایی می کند. به گفته Vice، زوم آدرس‌های ایمیل، عکس‌های کاربران را فاش می‌کند و به برخی از کاربران اجازه می‌دهد تا با غریبه‌ها تماس ویدیویی برقرار کنند. این به دلیل نحوه برخورد برنامه با مخاطبینی است که از نظر او برای همان سازمان کار می کنند.

ظاهراً این شرکت دارای ویژگی به نام "راهنمای شرکت” که به کاربران امکان می دهد دیگران را با همان دامنه اضافه کنند تا پیدا کردن آن راحت تر بتواند با افراد تماس بگیرد. این ویژگی برای کاربران داخل سازمانی بود که همه در آن نام دامنه یکسانی دارند. با این حال، این نرم افزار با برخی از دامنه های خصوصی به عنوان بخشی از یک شرکت رفتار می کند و به همین دلیل، هزاران نفر را به صورت تصادفی به مجموعه اضافه می کند که گویی همه آنها برای یک شرکت کار می کنند و اطلاعات شخصی خود را در معرض دید یکدیگر قرار می دهند.

کاربری که به Vice در مورد این مشکل اشاره کرد گفت که می‌تواند نام کامل، آدرس پست الکترونیکی، عکس نمایه‌شان (در صورت داشتن)، وضعیت آن‌ها را ببیند و می‌توانید با آنها تماس ویدیویی برقرار کنید. او همچنین خاطرنشان کرد که برای سوء استفاده از باگ، کاربر باید با یک ایمیل غیر استاندارد مانند xs4all.nl، dds.nl و quicknet.nl ثبت نام کند. اینها همه ارائه دهندگان خدمات اینترنتی هلندی (ISP) هستند که خدمات ایمیل را ارائه می دهند.

مشکل در تنظیمات "دایرکتوری شرکت" زوم است که در صورت ثبت نام با آدرس ایمیلی که دامنه مشابهی دارد، افراد دیگر را به طور خودکار به لیست مخاطبین کاربر اضافه می کند. این می تواند پیدا کردن یک همکار خاص برای تماس زمانی که دامنه متعلق به یک شرکت خاص است را آسان تر کند. اما چندین کاربر زوم می‌گویند که با آدرس‌های ایمیل شخصی ثبت‌نام کرده‌اند، و زوم آنها را با هزاران نفر دیگر گرد هم می‌آورد، به گونه‌ای که انگار همه برای یک شرکت کار می‌کنند و اطلاعات شخصی خود را در معرض دید یکدیگر قرار می‌دهند.

- معاون

Vice همچنین مواردی از شکایت دیگران از همین موضوع را در توییتر پیدا کرد. همه کاربران با استفاده از ایمیل‌های غیر استاندارد هلندی وارد سیستم شدند و برنامه تصور می‌کرد که آنها بخشی از شرکت هستند.

https://twitter.com/JJVLebon/status/1242175850306580486

ISP هلندی XS4ALL در پاسخ به یک شکایت توییت کرد"این چیزی است که ما نمی توانیم غیرفعال کنیم. می توانید ببینید که زوم می تواند در این مورد به شما کمک کند یا خیر. یکی دیگر از ISP DDS هلندی به Vice گفت که از این مشکل آگاه است اما مستقیماً از مشتریان چیزی نشنیده است. از سوی دیگر، زوم بیانیه زیر را به Vice داد:

Zoom یک لیست سیاه از دامنه ها را نگه می دارد و به طور منظم دامنه هایی را که قرار است اضافه شوند شناسایی می کند. با توجه به دامنه های خاصی که در یادداشت خود برجسته کرده اید، اکنون در لیست سیاه قرار گرفته اند.

- بزرگنمایی

علاوه بر این، این شرکت نیز به بخشی از وب سایت اشاره کرد که در آن کاربران می توانند درخواست کنند دامنه های دیگر از ویژگی دایرکتوری شرکت حذف شوند. متأسفانه، این اولین بار نیست که این شرکت با شلوار پایین دستگیر می شود. در سال 2019، یک محقق باگی را کشف کرد که به هکرها اجازه می داد بدون اطلاع کاربر کنترل وب کم ها را در دست بگیرند.

پیش از آن EFF اشاره کرد چگونه میزبان‌ها می‌توانند شرکت‌کنندگان را زیر نظر بگیرند و بدانند که آیا پنجره‌ای که در پنجره بزرگ‌نمایی متمرکز است یا خیر و آیا کاربران تماس ویدیویی را ضبط می‌کنند، مدیران Zoom می‌توانند به محتویات آن تماس ضبط‌شده، از جمله ویدیو، صدا، رونوشت، و ... دسترسی پیدا کنند. فایل‌های چت و همچنین دسترسی به اشتراک‌گذاری، تجزیه و تحلیل و امتیازات مدیریت ابری». هفته گذشته زوم بود گرفتار به اشتراک گذاری داده ها با فیس بوک و همین دیروز ما پوشش داده شده ادعاهای جعلی Zoom در مورد رمزگذاری انتها به انتها در تماس های گروهی.

به روز رسانی:

در 90 روز آینده، زوم از تمام منابع خود برای شناسایی، رسیدگی، و رفع مشکلات امنیتی و حریم خصوصی به طور فعال استفاده خواهد کرد. بنابراین، زوم در 3 ماه آینده هیچ ویژگی جدیدی اضافه نخواهد کرد. همچنین یک بررسی جامع با کارشناسان شخص ثالث و کاربران نماینده برای درک و اطمینان از امنیت سرویس خود انجام خواهد داد. درباره این اطلاعیه بیشتر بدانید اینجا کلیک نمایید.