نرمافزار ویدئوکنفرانس بسیار محبوب Zoom یک حفرهی امنیتی را وصله کرده است که به هر کسی این امکان را میدهد تا بهصورت از راه دور جلسات فعال محافظتنشده را استراق سمع کند و فایل صوتی، تصویری و اسناد به اشتراک گذاشته شده در این جلسه را افشا کند.
نرمافزار Zoom علاوهبر میزبانی جلسات و وبینارهای مجازی دارای گذرواژه، به کاربران اجازه میدهد تا یک جلسه برای شرکتکنندگان از پیش ثبتنام نشده ایجاد کند که میتوانند با وارد کردن یک شناسهی جلسهی واحد و بدون نیاز به یک گذرواژه به یک جلسهی فعال بپیوندد.
برنامهی Zoom این شناسهی جلسهی تصادفی را که از ۹، ۱۰ و ۱۱ رقم تشکیل میشود، برای هر جلسهای که ایجاد میشود، تولید میکند. درصورتیکه افشاء فراتر از یک شخص یا گروهی از اشخاص باشد، صرفاً دانستن شناسهی جلسات به مهمانهای ناخواسته اجازه میدهد تا به جلسات یا وبینارها بپیوندند. این مسأله برای کسانی که انتظار دارند مکالمات آنها خصوصی باشد، خبر بدی است.
Zoom در اواخر سال گذشته برخی کنترلهای اضافی با تنظیمات گذرواژه برای جلسات و وبینارها معرفی کرد که بهگفتهی چکپوینت نتیجهی تحقیقات مربوط به حفرهی امنیتی است که در ماه جولای سال ۲۰۱۹ میلادی به این شرکت گزارش شد. در گزارش منتشرشده، پژوهشگران چکپوینت یک حملهی enumeration خودکار نشان دادند که به جای استفاده از روش کورکورانه، شناسههای تصادفی معتبر جلسات را شناسایی میکند.
پژوهشگران ادعا کردند که یک نفوذگر میتواند از قبل یک فهرست طولانی از شناسههای جلسات Zoom ایجاد کند، از روشهای خودکارسازی استفاده کند تا بهسرعت تأیید کند که آیا یک شناسهی جلسهی Zoom معتبر است یا خیر و سپس وارد جلسات Zoom بدون گذرواژه شود. پژوهشگران ادعا میکنند که میتوانند حدود ۴ درصد از شناسههای جلسات تولیدشده بهصورت تصادفی را با احتمال موفقیت بالا پیشبینی کنند.
Zoom ویژگیهای امنیتی و عملکردهای زیر را در خدمات ویدئو کنفرانس مبتنیبر ابر خود معرفی کرد:
- گذرواژههای پیشفرض- درحالحاضر، Zoom بهطور خودکار یک گذرواژهی عددی شش رقمی برای هر جلسهای که کاربر ایجاد میکند، تولید میکند که شرکتکنندگان باید هنگام وارد کردن دستی شناسهی جلسه، آن را وارد کنند.
- گذرواژهی سطح گروه و حساب- با کنترلهای جدید، درحالحاضر سه مورد تنظیم گذرواژهی جدید در سطح حساب، گروه و کاربر توسط مدیر حساب قابل اجرا است.
- تأیید شناسهی جلسه- Zoom دیگر بهطور خودکار معتبر یا نامعتبر بودن شناسهی جلسه را نشان نمیدهد و مشخص کردن جلسات فعال را برای اسکریپتهای خودکار سختتر میکند. برای هر اتصال، این صفحه بارگذاری خواهد شد و تلاش خواهد کرد تا به جلسه بپیوندد. بنابراین، یک عامل بد قادر نخواهد بود که بهسرعت جلسات مورد نظر برای پیوستن را محدود کند.
- مسدودکنندهی دستگاه- برای جلوگیری از حملات کورکورانه، تلاشهای مکرر برای پویش شناسههای جلسات باعث میشود که یک دستگاه برای مدتی مسدود شود.
سخنگوی Zoom بیان کرد که حریم خصوصی و امنیت کاربران Zoom اولویت اصلی این شرکت است. این مسأله در ماه گوست سال ۲۰۱۹ میلادی رفع شد و این شرکت همچنان به اضافه کردن ویژگیها و قابلیتهای اضافی برای تقویت هر چه بیشتر بستر خود ادامه میدهد.