هل يسرق «زووم» بيانات مستخدميه؟.. دراسة تكشف أسرار خطيرة بشأن التطبيق
الثلاثاء، 05 مايو 2020 08:00 م
تطبيق زووم
تسببت جائحة كورونا وإجراءات الحجر الصحي، فى اتجاه مختلف المؤسسات والشركات لاعتماد ممارساتٍ جديدةٍ لتعزيز العمل عن بُعد، في ظل تغيراتٍ متلاحقةٍ طالت بنية الأعمال وكيفية استمرارها على النحو الأمثل. وفي ظل العمل والدراسة عن بُعد، وتنامي الاعتماد على التطبيقات المجانية، وحاجة المؤسسات والأفراد لتنظيم الاجتماعات الافتراضية؛ تزايد الاعتماد على جملةٍ من التطبيقات المُستحدَثة؛ ومن بينها تزايدت شهرة تطبيق «زووم» لمكالمات الفيديو والاجتماعات ZOOM Cloud Meetings.
كشفت دراسة جديدة للمركز المصرى للفكر والدراسات الاستراتيجية عن المخاطر التي يشكلها برنامج زووم وهى الدراسة التي أعدتها الدكتورة رغدة البهى رئيس وحدة الامن السيبرانى بالمركز قائلة إنه بات تطبيق «زووم» أحد أكثر التطبيقات ذيوعًا واستخدامًا في الآونة الأخيرة.
ووفقًا لشركة «زووم» (ومقرها ولاية كاليفورنيا الأمريكية)، شهد التطبيق تزايدًا لافتًا في أعداد المستخدمين الجدد، ليصل إجمالي عدد المستخدمين في مارس الماضي إلى ما يقرب من 200 مليون مستخدم يوميًّا. وهو ما يعني تزايد عدد المستخدمين بنحو 10 ملايين مستخدم مقارنة بشهر ديسمبر 2019.
وأشارت الدراسة التي حملت عنوان تطبيق «زووم»: ضرورة حتمية أم كارثة على الخصوصية؟ الى انه على الرغم من شهرته وتزايد استخدامه، كشف خبراء الأمن السيبراني عن خللٍ برمجيٍ في تطبيق «زووم» يُمكّن المهاجمين من سرقة البيانات المستخدمة في تسجيل الدخول، ولا سيما في أنظمة الويندوز Windows.
وتتم عمليّة السرقة عندما يرسل المهاجم رابطًا يمكنه -حال النقر عليه- من الحصول على بيانات تسجيل الدخول الخاصة بالضحية. فقد حوّل القراصنة أنظارهم صوب مختلف التطبيقات، حتى أصبحت هدفهم الأول. وفي هذا السياق، تعرضت «بيانات اعتماد» أكثر من 500 ألف من مستخدمي تطبيق «زووم» للسرقة والبيع عبر الشبكة المظلمة مقابل نصف بنس أمريكي لكل واحدةٍ منها. وتبعًا لصحيفة «ديلي ميل» البريطانية، أمكن الحصول على تلك المعلومات من خلال “هجمات تكديس بيانات الاعتماد” Credential Stuff.
ووفقًا لشركة «سيبل» Cyble للأمن السيبراني، عُرضت بعض حسابات «زووم» للبيع خلال منتدى للقراصنة وأخرى بالمجان في الأول من أبريل الماضي، وهي البيانات التي يرجع بعضها لكبرى الشركات والبنوك، مثل: سيتي بنك، وبنك تشيس. وتمكنت الشركة بالفعل من الحصول على بيانات ما يقرب من 530 ألف مستخدم مقابل 0.002 دولار لكل واحدة منها. وقد تضمنت تلك البيانات: بريد المستخدمين الإلكتروني، والشفرات التي تُمكّن القراصنة وغيرهم من دخول الاجتماعات، وغير ذلك.
وردًّا على ذلك، أفاد متحدث باسم شركة «زووم» بشيوع ذلك النوع من الاستهداف في خدمات الإنترنت. وأوضح أنّ ذلك النوع من الهجمات لا يؤثر على العملاء الذين يستخدمون أنظمة التسجيل الأحادي Single Sign-on. وأشار إلى توظيف الشركة بالفعل لشركاتٍ استخباريةٍ للعثور على كلمات السر المسروقة. كما أغلقت الشركة آلاف المواقع التي تحاول خداع المستخدمين لتحميل برمجياتٍ خبيثةٍ وإمدادهم ببيانات اعتمادهم.
يشمل تطبيق «زووم» جملةً من المشكلات المتعلقة بالخصوصية مثل: مراقبة حركة الأجهزة، وجمع بيانات المستخدمين الشخصية. كما يوفر «زووم» ميزة مراقبة انتباه الحضور Attendee Attention Tracking التي تسمح لربّ العمل أو أي شخصٍ آخر يدير الجلسة (المضيف) بمراقبة أجهزة المشاركين في الاتصال دون الحاجة لموافقتهم. إذ توضح الشركة في سياسة الخصوصية أنه يمكن لمدير الجلسة رؤية إشعارٍ إذا ابتعد المشارك عن التطبيق لأكثر من 30 ثانية، فإذا حرك أحد المشاركين في تطبيق «زووم» سهم الماوس أو نقر على أي شيء خارج برمجية “زووم” Software Client سيتلقى مدير الجلسة أو المضيف إشعارًا بعد 30 ثانية من فعله هذا.
وهو ما يعني أنّ أمام المستخدم 30 ثانية قبل العودة إلى واجهة “زووم” كي يتفادى إدراجه على قائمة “من يفعلون شيئًا آخر أثناء الاجتماع”، حتى لو كان ذلك اجتماعًا روتينيًا. وهو ما اعتبره البعض خرقًا للحق في الخصوصية، وخطوةً خطيرةً تُعزز الرقابة الرقمية.
هذه الميزة تعني أيضًا أنّ تطبيق “زووم” يمكنه معرفة التطبيقات والبرمجيات الأخرى التي يستخدمها المستخدمون خلال الاجتماع. وهو قادرٌ أيضًا على جمع البيانات المتعلقة بذلك الاستخدام. كما تنص سياسة الخصوصية على جواز جمع بعض البيانات الشخصية من شركاء خارجيين؛ أى الاستعانة بشركاتٍ أخرى لتقييم خدمة “زووم” نيابةً عنها.
ويمكن القول إنّ مشكلات الخصوصية التى تواجه “زووم” ليست بالجديدة؛ ففى عام 2019، قام “مركز معلومات الخصوصية الإلكترونية” بتقديم شكوى إلى لجنة التجارة الفيدرالية الأمريكية على خلفية خاصية “مراقبة انتباه الحضور” المتاحة في تطبيق “زووم”. وقد ورد فيها أنّ الأخير يمكنه تجاوز إعدادات أمان المتصفح وتشغيل كاميرات أجهزة المستخدم الخاصة عن بُعد، دون علمه أو موافقته. ومن ثمّ، عَرّض “زووم” المستخدمين لخطر المراقبة عن بُعد وإشراكهم في مكالمات فيديو غير مرغوبٍ فيها.
في سياسة الخصوصية، تؤكد شركة “زووم” على جمع بيانات المستخدمين الشخصية عند استخدام منتجاتها أو التفاعل معها بطرقٍ أخرى؛ أي إنها تجمع المعلومات الشخصية مثل: الاسم، والعنوان الفعلي، وعنوان البريد الإلكتروني، ورقم الهاتف، والوظيفة، وبطاقة الائتمان، بالإضافة إلى معلومات الجهاز المستخدم، ومعلومات المستخدمين على فيسبوك إذا استُخدم الأخير في تسجيل الدخول. وفي تحديثٍ لها مؤخرًا، أوقفت الشركة إرسال بعض البيانات من التطبيق إلى فيسبوك دون علم المستخدمين. وفي المقابل، لا تنشر “زووم” سياسةً واضحةً لأمن التطبيق، ما يعرض ملايين المستخدمين لخطر الكشف عن خصوصيتهم.
وذكر موقع “ذا إنترسبت” Intercept أنّ بعض المحادثات الصوتية ومقاطع الفيديو ليست محمية بالتشفير الشامل، على الرغم من ادعاءات شركة “زووم” عكس ذلك. وبدورها، كشفت مجلة “ماذر بورد” عن ثغرةٍ في تطبيق “زووم” بدا أنها تسببت في تسريب عنوان البريد الإلكتروني والصور الخاصة بالمستخدمين. وفي الآونة الأخيرة، تزايد ما يسمى “قصف زووم” Zoombombing، أي وجود ضيوفٍ يتطفلون على اجتماعات الفيديو لأغراضٍ خبيثةٍ بشكلٍ غير مرغوب.
في الولايات المتحدة، تواجه شركة “زووم” دعوى قضائيةً من قبل أحد مساهميها بعد الكشف عن ثغراتٍ أمنيةٍ أثرت في قيمة أسهمها السوقية؛ حيث رفع “مايكل دريو” دعوى ضد الشركة، متهمًا إياها بالمبالغة في تقدير معايير الخصوصية وعدم الكشف عن غياب ميزة التشفير “من طرف إلى طرف” عن خدماتها. ففي إحدى محاكم كاليفورنيا، دفع “دريو” بأنّ التقارير التي سلطت الضوء مؤخرًا على عيوب الخصوصية في التطبيق أدت إلى انخفاض أسهم الشركة.
وقد أتى ذلك على خلفية تحذير عددٍ من الباحثين الكنديين من توجيه عددٍ من المكالمات عبر “زووم” في أمريكا الشمالية من الصين، وهو ما أقرته الشركة، وعللته بحدوث خطأ تم إصلاحه، وإن أسفر ذلك عن تراجع أسهم الشركة بنحو 7.5% عند 113.75 دولارًا، لتفقد ما يقرب من ثلث قيمتها السوقية، بعد أن وصلت إلى مستوياتٍ قياسيةٍ في أواخر مارس 2020.
وتبعًا لصحيفة “نيويورك تايمز”، أرسلت المدعية العامة في نيويورك “ليتيتيا جيمس” رسالةً إلى شركة “زووم” تُشكك فيها من قدرة الشركة على حماية المستخدمين من قرصنة كاميرات الهواتف وأجهزة الكمبيوتر المحمول الخاصة بالمستخدمين. وأوضحت عدم كفاية الإجراءات الأمنية الحالية بما يتواكب مع الطلب المتزايد على الخدمة. كما حذّر مكتب التحقيقات الفيدرالي من قرصنة خدمات الاتصال المرئي عبر تطبيق “زووم”. وفي سياقٍ متصل، منعت بعض المدارس، والشركات، والمؤسسات الكبرى استخدام تطبيق “زووم”، وإن كان أبرزها: جوجل، وناسا، وسبيس إكس، وتسلا، ومجلس الشيوخ الأمريكي.
وفي الآونة الأخيرة، حظرت ألمانيا استخدام زووم. كما منعت أستراليا قوات الدفاع والنواب من استخدام خدمات التطبيق. وفي تايوان، طلب مجلس الوزراء التايواني من الوكالات الحكومية التوقف عن استخدام التطبيق. أما في ماليزيا، فحذرت الوكالة الوطنية للأمن السيبراني Nacsa والمركز الوطني للتنسيق والقيادة السيبرانية NC4 من استخدام “زووم”، بفعل ما يقوضه من ثغراتٍ أمنيةٍ تسمح للقراصنة بالوصول إلى محادثات المستخدمين الخاصة، وخلوه من خاصية التشفير من طرف إلى طرف.
وفي الهند، حظرت البورصة الرائدة NSE التداول عبر تطبيق “زووم”، وذلك على خلفية تزايد التهديدات السيبرانية الناجمة عنه. وأضافت أنه إذا كان من الضروري للغاية مناقشة الاجتماعات الرسمية، فيجب اتخاذ احتياطاتٍ كافيةٍ لتجنب تسريب أي معلوماتٍ شخصيةٍ أو تفاصيل ذات طبيعةٍ حساسة. كما طلبت الهيئة الاستشارية من ممثلي الحكومة تجنب استخدام منصة “زووم” في الأغراض الرسمية، مشيرةً إلى أنها غير آمنة.
في بيانٍ صحفي، قال “إريك يوان” (الرئيس التنفيذي للشركة): “إنّ دعم هذا التدفق الرهيب للمستخدمين مهمةٌ هائلةٌ، وقد كان شغلنا الشاغل. سعينا جاهدين لتقديم خدمة جيدة وسهلة التشغيل عبر منصة عرض الفيديو المفضلة للشركات حول العالم، مع ضمان أمان وخصوصية النظام الأساسي. ولكننا أدركنا أننا لم نتمكن من تحقيق توقعات الخصوصية والأمان للمجتمع. لذلك، أنا آسف للغاية”.
وأشار “يوان” إلى أن الشركة عندما صممت “زووم” لم تكن تتوقع أن يعمل، ويدرس، ويتواصل الجميع من المنزل فجأة. وقال إنّ الشركة تُجري مراجعةً لأنظمتها الداخلية “لضمان الأمن”. وعليه، ولتسهيل الوصول إلى أدوات الخصوصية، أرسل “زووم” تحديثًا جديدًا مرفقًا معه قائمة أمنية جديدة، بحيث تظهر أيقونة أمنية مخصصة في أسفل الشاشة، يمكن للمستخدمين من خلالها الوصول إلى مختلف مميزات الأمان الخاصة بالتطبيق.
كما نفى “يوان” إمكانية التجسس على الاجتماعات التي تجري من خلال التطبيق، قائلًا: “الاتصال آمن، لكن تأكد من تفعيل كلمة السر، حتى لا يستطيع الآخرون التجسس على الاجتماع”. وأضاف: “يجب أن تحرص على تفعيل خاصية غرفة الاجتماع. كل خواص الأمان متوفرة، لكن علينا أن نركز على تعليم كيفية تفعيل هذه الإعدادات للمستخدمين الجدد”.
وهو ما أتى على خلفية تعدد التحذيرات من ثغرات “زووم”، التي كان منها التقرير الحديث الصادر عن مجلة “ماذر بورد” الذي أكد أنّ تطبيق “زووم” ينتهك خصوصية المستخدمين، وأنّ نسخة التطبيق الخاصة بنظام IOS تشارك معلومات المستخدم مع شركة فيسبوك، حتى وإن كان لا يمتلك حسابًا بها. وتشمل تلك البيانات: نوع الجهاز ومواصفاته، وشبكة الاتصالات، والمنطقة الزمنية، والمدينة، وغير ذلك. وبعد تداول الأنباء عن الثغرة والكشف عنها، أعلنت شركة “زووم” أنها أصدرت تحديثًا لتطبيقها الخاص للحيلولة دون ذلك كما سبق القول.
وفي المقابل، أكدت شركة “زووم” أنها تعمل حاليًّا على تجميد عمليات تطوير الميزات بغرض تعبئة وتوجيه الموارد الهندسية كافّةً إلى التركيز على متطلبات السلامة، والخصوصية، وحماية المستخدمين. حيث أعلنت في أوائل إبريل الماضي عن وقف تطوير المنتجات للتركيز على الأمان والخصوصية.
واستعانت الشركة بخبرة “ألكس ستاموس” Alex Stamos -الذي عمل رئيسًا للأمن في شركة فيس بوك - لحل مشكلات الخصوصية والأمان. وعليه، كتب “ستاموس” في منشورٍ له: “لدى زووم بعض المهام التي يتعين القيام بها لضمان أمن التطبيق والبنية التحتية وتصميم التشفير. وأنا أتطلع إلى العمل مع زووم على ذلك”. كما تخطط الشركة لإتاحة التشفير الشامل على النظام الأساسي لاجتماعات الفيديو، والذي لا ينطبق إلا على المحادثات النصية حتى الآن. ختامًا، على شاكلة كافة البرامج، تتعرض منصات الفيديو للقرصنة والاختراق، ومع تزايد الاعتماد عليها من قبل الأفراد والشركات، يزداد استهدافها بالتبعية. وهو ما تجلى بوضوح في تطبيق “زووم”؛ فمع تزايد مستخدميه من ناحية، وانضمام فيض آخر منهم للعمل به من المنزل من ناحيةٍ أخرى، تزايدت بالتبعية المخاوف الأمنية بشأنه؛ وهي المخاوف التي أكدت الشركة بعضها، ودفعت بإصلاح بعضها الآخر.
