آسیبپذیری جدید Zoom دادههای خصوصی را در اختیار افراد غریبه قرار میدهد
4 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
همهگیری ویروس کرونا باعث شده است تا شرکتهایی به همکاری کاری و برنامههای ویدئو کنفرانس مانند Slack و Zoom متکی باشند. در حالی که زوم از شهرت جدید خود لذت می برد، این شرکت نیز هدف حملات بوده و با آسیب پذیری ها و نقض های امنیتی مقابله می کند.
اوایل امروز ما گزارش در مورد یک آسیبپذیری امنیتی که به هر کسی که با او چت میکنید اجازه میدهد اعتبار ورود به ویندوز شما را بدزدد. اکنون، گناه گزارشی منتشر کرده است که نقص دیگری را در Zoom شناسایی می کند. به گفته Vice، زوم آدرسهای ایمیل، عکسهای کاربران را فاش میکند و به برخی از کاربران اجازه میدهد تا با غریبهها تماس ویدیویی برقرار کنند. این به دلیل نحوه برخورد برنامه با مخاطبینی است که از نظر او برای همان سازمان کار می کنند.
ظاهراً این شرکت دارای ویژگی به نام "راهنمای شرکت” که به کاربران امکان می دهد دیگران را با همان دامنه اضافه کنند تا پیدا کردن آن راحت تر بتواند با افراد تماس بگیرد. این ویژگی برای کاربران داخل سازمانی بود که همه در آن نام دامنه یکسانی دارند. با این حال، این نرم افزار با برخی از دامنه های خصوصی به عنوان بخشی از یک شرکت رفتار می کند و به همین دلیل، هزاران نفر را به صورت تصادفی به مجموعه اضافه می کند که گویی همه آنها برای یک شرکت کار می کنند و اطلاعات شخصی خود را در معرض دید یکدیگر قرار می دهند.
کاربری که به Vice در مورد این مشکل اشاره کرد گفت که میتواند نام کامل، آدرس پست الکترونیکی، عکس نمایهشان (در صورت داشتن)، وضعیت آنها را ببیند و میتوانید با آنها تماس ویدیویی برقرار کنید. او همچنین خاطرنشان کرد که برای سوء استفاده از باگ، کاربر باید با یک ایمیل غیر استاندارد مانند xs4all.nl، dds.nl و quicknet.nl ثبت نام کند. اینها همه ارائه دهندگان خدمات اینترنتی هلندی (ISP) هستند که خدمات ایمیل را ارائه می دهند.
مشکل در تنظیمات "دایرکتوری شرکت" زوم است که در صورت ثبت نام با آدرس ایمیلی که دامنه مشابهی دارد، افراد دیگر را به طور خودکار به لیست مخاطبین کاربر اضافه می کند. این می تواند پیدا کردن یک همکار خاص برای تماس زمانی که دامنه متعلق به یک شرکت خاص است را آسان تر کند. اما چندین کاربر زوم میگویند که با آدرسهای ایمیل شخصی ثبتنام کردهاند، و زوم آنها را با هزاران نفر دیگر گرد هم میآورد، به گونهای که انگار همه برای یک شرکت کار میکنند و اطلاعات شخصی خود را در معرض دید یکدیگر قرار میدهند.
- معاون
Vice همچنین مواردی از شکایت دیگران از همین موضوع را در توییتر پیدا کرد. همه کاربران با استفاده از ایمیلهای غیر استاندارد هلندی وارد سیستم شدند و برنامه تصور میکرد که آنها بخشی از شرکت هستند.
https://twitter.com/JJVLebon/status/1242175850306580486
ISP هلندی XS4ALL در پاسخ به یک شکایت توییت کرد"این چیزی است که ما نمی توانیم غیرفعال کنیم. می توانید ببینید که زوم می تواند در این مورد به شما کمک کند یا خیر. یکی دیگر از ISP DDS هلندی به Vice گفت که از این مشکل آگاه است اما مستقیماً از مشتریان چیزی نشنیده است. از سوی دیگر، زوم بیانیه زیر را به Vice داد:
Zoom یک لیست سیاه از دامنه ها را نگه می دارد و به طور منظم دامنه هایی را که قرار است اضافه شوند شناسایی می کند. با توجه به دامنه های خاصی که در یادداشت خود برجسته کرده اید، اکنون در لیست سیاه قرار گرفته اند.
- بزرگنمایی
علاوه بر این، این شرکت نیز به بخشی از وب سایت اشاره کرد که در آن کاربران می توانند درخواست کنند دامنه های دیگر از ویژگی دایرکتوری شرکت حذف شوند. متأسفانه، این اولین بار نیست که این شرکت با شلوار پایین دستگیر می شود. در سال 2019، یک محقق باگی را کشف کرد که به هکرها اجازه می داد بدون اطلاع کاربر کنترل وب کم ها را در دست بگیرند.
پیش از آن EFF اشاره کرد چگونه میزبانها میتوانند شرکتکنندگان را زیر نظر بگیرند و بدانند که آیا پنجرهای که در پنجره بزرگنمایی متمرکز است یا خیر و آیا کاربران تماس ویدیویی را ضبط میکنند، مدیران Zoom میتوانند به محتویات آن تماس ضبطشده، از جمله ویدیو، صدا، رونوشت، و ... دسترسی پیدا کنند. فایلهای چت و همچنین دسترسی به اشتراکگذاری، تجزیه و تحلیل و امتیازات مدیریت ابری». هفته گذشته زوم بود گرفتار به اشتراک گذاری داده ها با فیس بوک و همین دیروز ما پوشش داده شده ادعاهای جعلی Zoom در مورد رمزگذاری انتها به انتها در تماس های گروهی.
به روز رسانی:
در 90 روز آینده، زوم از تمام منابع خود برای شناسایی، رسیدگی، و رفع مشکلات امنیتی و حریم خصوصی به طور فعال استفاده خواهد کرد. بنابراین، زوم در 3 ماه آینده هیچ ویژگی جدیدی اضافه نخواهد کرد. همچنین یک بررسی جامع با کارشناسان شخص ثالث و کاربران نماینده برای درک و اطمینان از امنیت سرویس خود انجام خواهد داد. درباره این اطلاعیه بیشتر بدانید اینجا کلیک نمایید.