نقص امنیتی زوم؛ تماشای ویدئوی کاربران؟!

 

یک پژوهشگر فاش کرده‌است که یک نقص امنیتی در نرم‌افزار گپ‌و‌گفت: ویدیویی «زوم» به این معنی بود که هکر‌ها می‌توانستند «ظرف چند دقیقه» وارد مکالماتی شوند که با گذرواژه محافظت می‌شدند. این مسئله ناشی از نبود محدودیتی بر تعداد دفعات تلاش برای ورود به دیدار‌های خصوصی «با یک گذرواژه» بود.

آن گونه گپ‌و‌گفت‌های ویدیویی بنا به تعریف، با یک گذرواژه شش رقمی محافظت می‌شدند، بدان معنا که یک میلیون احتمال برای ترکیب آن شش رقم وجود دارد (که تنها یکی از آن‌ها ترکیب درست است). در نتیجه، هکر‌ها تمامی ترکیبات متفاوت را نسبتا به‌سرعت و سهولت امتحان می‌کردند.

کاشف این آسیب‌پذیری تام آنتونی بود، نایب رئیس بخش تولید در شرکت بهینه‌سازی موتور جست‌وجو به نام سرچ‌پایلوت، که اولین بار روز اول آوریل این نقص را به زوم گزارش داد. جزئیات این نقص تنها روز چهارشنبه اعلام شد، گرچه زوم گفت که روز نهم آوریل مسئله را حل کرده است؛ به این معنی که تماس‌های پس از آن تاریخ دیگر آسیب‌پذیر نبوده‌اند.

شواهدی در دست نیست که آن نقص امنیتی مورد استفاده هکر‌ها قرار گرفته باشد، ولی ماهیت چنین حمله‌هایی باعث می‌شود که ردیابی‌شان تقریبا ناممکن باشد. آنتونی می‌گوید، این حملات ممکن است در طول جلسات بسیار محرمانه ویدیویی زوم در طول قرنطینه اواخر ماه مارس برای مقابله با همه‌گیری ویروس کرونا، صورت گرفته‌باشد.

 

آنتونی در توضیح این نقص در یک وبلاگ نوشت: «روز 31 مارس، بوریس جانسون در توییتی گفت که اولین جلسه دیجیتالی کابینه را برگزار خواهد کرد. من هم جزو خیلی‌ها بودم که متوجه شدم تصویر صفحه کامپیوتر او حاوی شناسه جلسه زوم است.»

«روی صفحه کامپیوتر بوریس جانسون دیدم که یک کاربر خود را «آیفون» نامیده و دوربین و میکروفون او خاموش است. به این فکر افتادم که این نقص قبلا شناسایی شده یا نه. اگر من متوجهش شدم، احتمالا دیگران هم شده‌اند، که این نقص را بسیار نگران کننده می‌سازد.»

این تازه‌ترین مورد از رشته مسایل مربوط به زوم است که در ماه مارس و آوریل شاهد روندی به نام «بمباران زوم» بود و افراد بدون دعوت وارد جلسات ویدیویی می‌شدند. در حادترین نمونه‌ها، ویدیو‌های کودک‌آزاری برای شرکت‌کنندگان در گپ‌و‌گفت‌ها نمایش داده می‌شد.

در واکنش به تازه‌ترین افشاگری، یک سخنگوی زوم گفت: «وقتی از این مسئله باخبر شدیم، بی‌درنگ سرویس «وب کلاینت» زوم را از کار انداختیم تا در مدت زمانی که مشغول رفع نقص هستیم، امنیت کاربرانمان تضمین شود.»

«از آن زمان، محدودیت گذرواژه‌ها را بهبود داده‌ایم... و وب‌کلاینت را از نهم آوریل دوباره راه انداخته‌ایم. با این اصلاحات، مسئله سرانجام حل شد، و نیازی به اقدامی از سوی کاربران نیست. از هیچ موردی که سوءاستفاده‌ای صورت گرفته باشد، خبر نداریم.»

 

منبع: ایندیپندنت