لعدة أسابيع جذبت خدمة الإتصال بالفيديو Zoom المزيد والمزيد من المستخدمين بسبب حالة الطوارئ العالمية وإشتغال الناس من منازلهم.
اكتشف الخبراء أخطاء خطيرة للغاية في هذا التطبيق. منها :
1. لا يوجد تشفير شامل:
على عكس ما هو مقترح على موقع Zoom لا يتم تشفير الاتصالات بالصوت والفيديو من البداية إلى النهاية.
بالتالي فإن لدى الشركة إمكانية لفك تشفير هذه التدفقات على مستوى خوادمها واعتراضها.
ولكن إذا كنت قلقاً و كان مستوى الأمان مهمًا بالنسبة لك فمن الأفضل اللجوء إلى حلول أخرى.
التشفير الشامل للفيديو الجماعي ليس سهلاً ولكن بعض الخدمات تقدمه مثل FaceTime أو WhatsApp أو Wire.
2. يمكن للمتصيدين والجواسيس القدوم ورؤيتك:
واحدة من أحدث هجمات المتصيدين هي Zoombombing.
المخادعون الصغار يتصلون بالاجتماعات غير المخصصة لهم.
هذا ببساطة لأن الكثير من المستخدمين ينشرون رابط تسجيل الدخول على الويب فيراه الجميع.
وحتى إذا لم يكن الرابط منشوراً عدم تعيين كلمة مرور كافية يجعل ممكناً ايجاد الإجتماعات والدخول إليها من قبل المتسللين.
في الواقع من السهل مسح قائمة معرفات الاجتماعات وبالتالي اكتشاف تلك النشطة أو المجدولة.
وهذا ما يفعله الهاكر Trent Lo ببرنامج ZWarDial فوفقًا لتقارير KrebsOnSecurity تمكن الخبير من العثور في غضون يوم على أكثر من 2400 اجتماع مفتوح بما في ذلك داخل الشركات الكبيرة.
تمكن من الوصول إلى تاريخ الاجتماعات واسم المنظم وأية معلومات أخرى.
إنه التجسس الإحترافي بعينه.
3. منتج مليء بالأخطاء الأمنية:
منذ الاحتواء اكتسب Zoom شهرة سريعة من 10 إلى 200 مليون مستخدم يوميًا.
ولكن فجأة أصبح يهتم الهاكرز به أيضًا ووجدوا العديد من العيوب.
الباحث باتريك واردلي اكتشف في غضون ساعات ثغرة Zero-Day في نسخة MacOS من برنامج العميل.
يسمح الخطأ للبرامج الضارة بالحصول على امتيازات مشرف النظام واعتراض تدفقات الفيديو والصوت من كاميرا الويب.
قبل بضعة أيام سمح وجود خلل في برنامج عميل ويندوز للمهاجم باسترداد بيانات اعتماد اتصال الشبكة عن بُعد.
باختصار من الواضح أن مطوري Zoom لم يهتموا كثيرًا بالأمان.
في ملاحظة مدونة يدرك الرئيس التنفيذي والمؤسس إريك يوان ذلك ويمنح نفسه 90 يومًا لتدعيم برامجه أن يكون متأخرا أفضل من عدمه.
4. عدم الاهتمام بحماية البيانات الشخصية بشكل كاف:
تم توبيخ الناشر مؤخرًا بشكل متكرر بسبب سوء إدارة البيانات الشخصية.
أرسل تطبيق IOS بيانات إلى فيسبوك دون موافقة المستخدمين.
أدى أيضاً تكامل خدمة Zoom مع LinkedIn الكشف عن الملف الشخصي المهني للمشاركين دون موافقتهم وحتى إذا تم تسجيل دخولهم بشكل مجهول.
يمكن أن تقوم وظيفة دفتر عناوين Zoom (دليل الشركة) تلقائيًا بتجميع الأشخاص الذين لا يعرفون بعضهم و لا يعملون معًا فقط لأن رسائل البريد الإلكتروني الخاصة بهم تشارك نفس المحتوى نفس اسم المجال.
تجدر الإشارة إلى أن Zoom اضطرت إلى تعديل سياسة حماية البيانات الشخصية بشكل عاجل لأنه لم يكن واضحًا فيما يتعلق بالاستخدام التجاري المحتمل لمحتوى الاجتماعات.
5. لا تثق SpaceX و NASA في Zoom:
إذا كنت تتعامل مع بيانات حساسة وسرية فمن الأفضل عدم استخدام Zoom.
هذا ما يعتقده عمالقة الفضاء SpaceX و NASA في مذكرة مرسلة إلى الموظفين تحظر إدارة SpaceX استخدام هذه الخدمة وتوصي بالاتصال عن طريق البريد الإلكتروني والهاتف.
من جانبه إريك يوان المؤسس والمدير التنفيذي لشركة Zoom رد على المخاوف المتعلقة بعدم حماية الخصوصية فى التطبيق خاصة بعد أن حذر مسئولون فيدراليون من اختراقه للخصوصية.
المدير التنفيذى لـ ZOOM رد على سؤال بخصوص الخصوصية فى الاجتماعات بالفيديو على التطبيق نافيا إمكانية التجسس عليه قائلا :
”الاتصال آمن لكن تأكد من تفعيل كلمة السر حتى لا يستطيع الآخرين التجسس على الاجتماع”.
وتابع:
”يجب أن تحرص على تفعيل خاصية غرفة الاجتماع كل خواص الأمان متوفرة لكن علينا أن نركز على تعليم كيفية تفعيل هذه الاعدادات للمستخدمين الجدد”.
وقال يوان أن هناك العديد من الأنشطة والاستخدامات لتطبيق زووم ومنها الاجتماعات وأيضا العديد من ساعات المرح.
وعن قرار إدارة التعليم فى نيويورك بعد استخدام زووم فى مؤسساتها قال يوان:
”مازلنا فى طور العمل مع مدارس مدينة نيويورك لأنهم يعيدون النظر فى الأمر ونحن نطبق اجراءات الأمن هذه للتأكد من عدم دخول أشخاص غير مرغوب فيهم على زووم مجددا”.
وأضاف:
” أهم شئ يجب على المستخدمين معرفته نحن فى زووم نقوم بالاجراءات سريعا قمنا بخطوات خاطئة فى الماضى لكن نيتنا جيدة وتعلمنا درسنا الآن وركزنا على الخصوصية والأمن قبل أن نقوم بأى شئ أخر فكرنا بذلك قبل أن نهتم بخدمة العملاء يجب أن نأخذ خطوة للوراء للتركيز على الخصوصية والأمن نريد أن تكون زووم الشركة الرائدة فيما يتعلق بالأمن والخصوصية”.