بعد اكتشاف ثغرات أمنية.. كيف تتخطى مشاكل خصوصية “Zoom” وماهي بدائل التطبيق

حصل تطبيق مؤتمرات الفيديو (Zoom) على أهمية كبيرة حاليا بسبب اضطرار العمل من المنزل بعد تفشي فيروس كورونا المستجد، وزاد استخدامه مع تحول الحياة المهنية والاجتماعية للعديد من الأشخاص عبر الإنترنت بشكل كامل، لكن الصعود السريع للتطبيق ترافق مع تدقيق إضافي من الباحثين في مجال الأمن والخصوصية، الذين يكتشفون المزيد من المشاكل.

وبحسب محمد عبد الباسط، خبير الأمن الإلكتروني، فإن التطبيق “Zoom” الخاص بالاجتماعات الذي بدأ ملايين الاعتماد عليه مؤخرا لانجاز اعمالهم او مكالمة اصدقائهم، اصبح الهدف الاول والاساسى لكل المجرمين الرقميين، حيث تم اكتشاف ثغرة من نوع UNC Path Injection موجودة فى قسم الدردشة المكتوبة بداخل التطبيق الخاص ب Windows بتسمح لأى مهاجم انه يبعت UNC Path وبمجرد ضغطة واحده من المستخدم مستلم الرسالة بيقوم ال Zoom Client بإرسال ال NTLMv2 and NTLM Hashes وهو الهاش الذي يحتوى على باسوورد المستخدم الحالى.

وقال عبد الباسط، إن المعلومات التي يتم تسريبها تشمل اسم المستخدم، واسم الدومين للجهاز الخاص به، وفى حال وجود (Domain controller) والهاش الخاصة بكلمة مرور جهاز المستخدم، والتى يمكن كسرها بأدوات كسر كلمات المرور واستخدامها فى الهجوم على جهاز المستخدم نفسه ان كان معرض بشكل مباشر للانترنت (فى حالة عدم وجود Firewall او وراء Router غير محمي.

وأضاف أن استخدام الهاش بهذا الشكل المباشر لتنفيذ هجوم PTH او “تمرير الهاش” Pass The Hash أو Hash Replay للهجوم على خدمات كتير منها Microsoft Exchange و Outlook Webmail و Sharepoint.

وبحسب الخبير فإن الأمر لا يقتصر علي هذه الثغرة، لأن ثغرة تانية اسمها Zoom Bombing تعد ضعف موجود فى ميكانيزم توليد ارقام الغرف الخاصة بالدردشة والاجتماعات داخل خدمة “زووم” نفسها وتسمح لأي شخص بأن يقوم بعمل bruteforce او تخمين للـ id الخاص بالاجتماع والدخول للاجتماع دون سابق إنذار، ومنها يقوم بإرسال الرابط الخبيث داخل الاجتماع والخروج بشكل سريع.

وتقول (ريانا بفيفيركورن) Riana Pfefferkorn، من مركز ستانفورد للإنترنت والمجتمع: “تشهد منصات المؤسسات مشكلات إساءة الاستخدام نفسها المتكررة على تويتر ويوتيوب وما إلى ذلك، حيث صممت هذه المنصات للسماح للغرباء بالاتصال بغرباء آخرين، لكن كان عليهم التعامل مع ميزات مكافحة إساءة الاستخدام أيضًا”.

وتسببت الأخطاء الفادحة بزيادة التدقيق على الخدمة، حيث تواجه دعوى قضائية جماعية بشأن البيانات التي أرسلها تطبيق (iOS) إلى فيسبوك، وأرسل مكتب المدعي العام في نيويورك رسالة إلى الشركة حول قائمة المشاكل المتزايدة، وجاء في الرسالة: “عالجت (Zoom) الثغرات الأمنية المحددة المبلغ عنها، لكن نود أن نفهم ما إذا كانت الخدمة قد راجعت ممارساتها الأمنية”.

كيف تستخدم التطبيق مع هذه الثغرات؟

ينصح الخبير الامني، لا تضغط  على اى لينكات مشبوهة  على التطبيق Zoom ولا غيرها من التطبيقات الخاصه بالدردشة او الاجتماعات خصوصا الروابط اللى بتبدأ ب \\ او “باك سلاش باك سلاش” مثال: \\127.0.0.1\C$\Windows\System32\cmd.exe. لأنها تعد الخطر الحقيقى فى الوقت الحالى واللى بتقوم بتنفيذ اكواد على نظام التشغيل ويندوز او سرقة الـ hash.

2- لا تشارك رابط الاجتماعات بتاعك فى اى اماكن عامة على الانترنت!

الإصدار المصاب هو Zoom desktop client على نظام التشغيل ويندوز، اما على ماك فالتطبيق غير مصاب هذا بخلاف ثغرات تانية بتسرب صور ومعلومات عن المستخدمين تم اكتشافها على تطبيق الموبايل الخاص بزوم على iOS هنا: https://skty.cc/en

بدائل تطبيق Zoom للاجتماعات الفيديو كول:

لا تُعد خدمة (Zoom) الخيار الوحيد لعقد المؤتمرات الفيديوية، لكن الشركات والمدارس والمنظمات اختارتها خلال أوقات الحجر الصحي الإلزامي، وهي مجانية للاستخدام، ولديها واجهة مألوفة، ويمكنها استيعاب محادثات الفيديو الجماعية لما يصل إلى 100 شخص.

هناك مواقع كثيرة تقدم نفس الخدمة دون تثبيت اى تطبيقات على الكمبيوتر مثل WhereBy و Amazon Chime وGoogle Duo و Google Hangout.

بالاضافة الي ميزة الدردشة المرئية الجماعية في (سكايب) Skype التي تدعم 50 مشاركًا فقط مجانًا، وللاسف تتمتع خيارات البث المباشر مثل (Facebook Live) بالسرعة والتفاعلية المطلوبة لوضع الجميع في غرفة رقمية معًا.