خبراء يحذرون من مخاطر استخدام منصة "زوم"
في الشهر الماضي، ارتفعت الزيارات اليومية إلى صفحة تنزيل Zoom.us بنسبة 535 في المائة أي أكثر من خمسة أضعاف عن الشهر السابق. كما أن تطبيق "زوم" التطبيق الأكثر تنزيلًا على أجهزة "آيفون" في الولايات المتحدة منذ أسابيع. واستخدمه سياسيون وشخصيات بارزة، بما في ذلك رئيس الوزراء البريطاني بوريس جونسون، ورئيس الاحتياطي الفدرالي السابق آلان غرينسبان أثناء عملهم من المنزل.
لكن باحثين أمنيين وصفوا "زوم" بأنه "كارثة على الخصوصية" و"فاسد كلياً" بناء على ادعاءات بأن الشركة التي تملكه تسيء التعامل مع بيانات المستخدم، وفقا لصحيفة "ذي غارديان" البريطانية.
وأرسلت المدعية العامة في نيويورك، ليتيسيا جيمس، يوم الإثنين، رسالة إلى الشركة تطلب منها تحديد الإجراءات التي اتخذتها لمعالجة المخاوف الأمنية والتكيف مع الزيادة في عدد المستخدمين.
وقالت جيمس في رسالتها إن "زوم" كانت بطيئة في معالجة الثغرات الأمنية "التي يمكن أن تمكن أطرافا ثالثة من الوصول الخفي إلى كاميرات الويب الخاصة بالمستخدمين".
وقال متحدث باسم "زوم" لصحيفة "ذا غارديان" يوم الأربعاء إن الشركة تخطط لإرسال المعلومات المطلوبة والامتثال لطلب المدعية العامة. وقال المتحدث "إن زوم تأخذ خصوصية مستخدميها وأمنهم وثقتهم على محمل الجد" مضيفا "خلال جائحة كوفيد ــ 19 نعمل على مدار الساعة لضمان بقاء المستشفيات والجامعات والمدارس والشركات الأخرى في جميع أنحاء العالم على اتصال".
وأعلنت الشركة يوم الخميس أنها ستجمد كل تطوير الميزات الجديدة وتحول جميع الموارد الهندسية إلى قضايا الأمن والسلامة التي تم لفت الانتباه إليها في الأسابيع الأخيرة.
وجاء ذلك بعدما أعلن مكتب التحقيقات الفدرالي الأميركي في 30 مارس/آذار أنه يحقق في زيادة حالات قرصنة الفيديو، والمعروفة أيضًا باسم "تفجير الزوم"، حيث يتسلل المتسللون إلى اجتماعات الفيديو، ويبثون غالباً افتراءات عنصرية أو تهديدات.
يمكن الوصول إلى اجتماعات "زوم" من خلال عنوان URL قصير يستند إلى الرقم، والذي يمكن إنشاؤه وتخمينه بسهولة من قِبل المتسللين، كما وجد تقرير في يناير من شركة Checkpoint الأمنية. وقد أصدرت "زوم" إرشادات في الأيام الأخيرة حول كيفية منع الضيوف غير المرغوب فيهم من تعطيل اجتماعات الفيديو، وقال متحدث باسم الشركة إنها تعمل أيضًا على تثقيف مستخدميها حول الحماية من خلال المدونات والندوات عبر الإنترنت.
وكانت الشركة قالت في وقت سابق إنها تستخدم التشفير لتأمين الاتصال بحيث لا يمكن قراءته إلا من قبل المستخدمين المعنيين. لكن الشركة عادت لتقول يوم الأربعاء إن التشفير من طرف إلى طرف "ليس ممكنًا حاليًا على النظام الأساسي"، واعتذرت الشركة عن "الارتباك" الذي تسببت به إشارتها سابقا "بشكل غير صحيح" مما يشير إلى العكس.
العيوب الأمنية
تم الإبلاغ عن عدد من العيوب الأمنية التي تؤثر على المنصة في الماضي وحديثًا هذا الأسبوع. في عام 2019، تم الكشف عن أن "زوم" قد قام بتثبيت خادم ويب مخفي على أجهزة المستخدم التي يمكن أن تسمح للمستخدم بإضافته إلى مكالمة دون إذنه. وسيساعد خطأ تم اكتشافه هذا الأسبوع القراصنة على الاستيلاء على جهاز "ماك" الخاص بمستخدم "زوم"، بما في ذلك التجسس على كاميرا الويب واختراق الميكروفون.
وقال أرفيند نارايانان، أستاذ علوم الكمبيوتر المساعد في جامعة برينستون، إن الشركة قالت يوم الخميس إنها أصدرت تحديثا لإصلاح مشكلة "ماك"، ولكن عدد مشكلات الأمان مع "زوم" في الماضي يسيء لسمعتها، مضيفاً "دعونا نقولها ببساطة، زوم هو برنامج ضار".
تدابير المراقبة داخل التطبيق
تم انتقاد "زوم" أيضاً بسبب ميزة "مراقبة انتباه الحضور"، والتي تتيح للمضيف معرفة ما إذا كان المستخدم ينقر بعيدًا عن نافذة "زوم" لمدة 30 ثانية أو أكثر.
تسمح هذه الميزة لأرباب العمل بالتحقق مما إذا كان الموظفون مضبطين حقًا في اجتماع عمل أو إذا كان الطلاب يشاهدون حقًا عرضًا تقديميًا في الفصل الدراسي عن بُعد.
بيع بيانات المستخدم
وجد تقرير من شركو Motherboard أن "زوم" يرسل بيانات من مستخدمي تطبيق iOS الخاص به إلى Facebook لأغراض إعلانية، حتى إذا لم يكن لدى المستخدم حساب Facebook.
غيرت "زوم" سياساتها في الرد، وقالت يوم الخميس إن الشركة "لم تبع بيانات المستخدم مطلقًا في الماضي ولا تنوي بيع بيانات المستخدمين في المستقبل". ولكن تم الاستشهاد بالقصة في دعوى قضائية رفعت أمام محكمة فدرالية في كاليفورنيا هذا الأسبوع، متهمة "زوم" بالفشل في "حماية المعلومات الشخصية للملايين المتزايدة من المستخدمين بشكل صحيح" على منصتها.
كذلك تمت إثارة عيوب الخصوصية في رسالة المدعية العامة في نيويورك، والتي أشارت إلى أن انتهاكات الخصوصية هذه يمكن أن تكون مصدر قلق خاص حيث تنتقل المدارس إلى منصة "زوم".
