اشکال Zoom می‌تواند موجب پیوستن اشخاص دعوت‌نشده به جلسات‌ خصوصی شود

نرم‌افزار ویدئوکنفرانس بسیار محبوب Zoom یک حفره‌ی امنیتی را وصله کرده است که به هر کسی این امکان را می‌دهد تا به‌صورت از راه دور جلسات فعال محافظت‌نشده را استراق سمع کند و فایل صوتی، تصویری و اسناد به اشتراک گذاشته شده در این جلسه را افشا کند.

نرم‌افزار Zoom علاوه‌بر میزبانی جلسات و وبینارهای مجازی دارای گذرواژه، به کاربران اجازه می‌دهد تا یک جلسه برای شرکت‌کنندگان از پیش ثبت‌نام نشده ایجاد کند که می‌توانند با وارد کردن یک شناسه‌ی جلسه‌ی واحد و بدون نیاز به یک گذرواژه به یک جلسه‌ی فعال بپیوندد.

برنامه‌ی Zoom این شناسه‌ی جلسه‌ی تصادفی را که از ۹، ۱۰ و ۱۱ رقم تشکیل می‌شود، برای هر جلسه‌ای که ایجاد می‌شود، تولید می‌کند. درصورتی‌که افشاء فراتر از یک شخص یا گروهی از اشخاص باشد، صرفاً دانستن شناسه‌ی جلسات به مهمان‌های ناخواسته اجازه می‌دهد تا به جلسات یا وبینارها بپیوندند. این مسأله برای کسانی که انتظار دارند مکالمات آن‌ها خصوصی باشد، خبر بدی است.

Zoom در اواخر سال گذشته برخی کنترل‌های اضافی با تنظیمات گذرواژه برای جلسات و وبینارها معرفی کرد که به‌گفته‌ی چک‌پوینت نتیجه‌ی تحقیقات مربوط به حفره‌ی امنیتی است که در ماه جولای سال ۲۰۱۹ میلادی به این شرکت گزارش شد. در گزارش منتشرشده، پژوهش‌گران چک‌پوینت یک حمله‌ی enumeration خودکار نشان دادند که به جای استفاده از روش کورکورانه، شناسه‌های تصادفی معتبر جلسات را شناسایی می‌کند.

پژوهش‌گران ادعا کردند که یک نفوذگر می‌تواند از قبل یک فهرست طولانی از شناسه‌های جلسات Zoom ایجاد کند، از روش‌های خودکارسازی استفاده کند تا به‌سرعت تأیید کند که آیا یک شناسه‌ی جلسه‌ی Zoom معتبر است یا خیر و سپس وارد جلسات Zoom بدون گذرواژه شود. پژوهش‌گران ادعا می‌کنند که می‌توانند حدود ۴ درصد از شناسه‌های جلسات تولیدشده به‌صورت تصادفی را با احتمال موفقیت بالا پیش‌بینی کنند.

Zoom ویژگی‌های امنیتی و عملکردهای زیر را در خدمات ویدئو کنفرانس مبتنی‌بر ابر خود معرفی کرد:

  • گذرواژه‌های پیش‌فرض-  درحال‌حاضر، Zoom به‌طور خودکار یک گذرواژه‌ی عددی شش رقمی برای هر جلسه‌ای که کاربر ایجاد می‌کند، تولید می‌کند که شرکت‌کنندگان باید هنگام وارد کردن دستی شناسه‌ی جلسه، آن را وارد کنند.
  • گذرواژه‌ی سطح گروه و حساب- با کنترل‌های جدید، درحال‌حاضر سه مورد تنظیم گذرواژه‌‌ی جدید در سطح حساب، گروه و کاربر توسط مدیر حساب قابل اجرا است.
  • تأیید شناسه‌ی جلسه- Zoom دیگر به‌طور خودکار معتبر یا نامعتبر بودن شناسه‌ی جلسه را نشان نمی‌دهد و مشخص کردن جلسات فعال را برای اسکریپت‌های خودکار سخت‌تر می‌کند. برای هر اتصال، این صفحه بارگذاری خواهد شد و تلاش خواهد کرد تا به جلسه بپیوندد. بنابراین، یک عامل بد قادر نخواهد بود که به‌سرعت جلسات مورد نظر برای پیوستن را محدود کند.
  • مسدودکننده‌ی دستگاه- برای جلوگیری از حملات کورکورانه، تلاش‌های مکرر برای پویش شناسه‌های جلسات باعث می‌شود که یک دستگاه برای مدتی مسدود شود.

سخن‌گوی Zoom بیان کرد که حریم خصوصی و امنیت کاربران Zoom اولویت اصلی این شرکت است. این مسأله در ماه ‌گوست سال ۲۰۱۹ میلادی رفع شد و این شرکت همچنان به اضافه کردن ویژگی‌ها و قابلیت‌های اضافی برای تقویت هر چه بیشتر بستر خود ادامه می‌دهد.

پست‌های مشابه

Leave a Comment