نقص امنیتی زوم؛ تماشای ویدئوی کاربران؟!
به گزارش وبلاگ سال آرامش، در واکنش به تازه ترین افشاگری، یک سخنگوی زوم گفت: وقتی از این مسئله باخبر شدیم، بی درنگ سرویس وب کلاینت زوم را از کار انداختیم تا در مدت زمانی که مشغول برطرف نقص هستیم، امنیت کاربرانمان تضمین گردد.
یک پژوهشگر فاش نموده است که یک نقص امنیتی در نرم افزار گپ و گفت: ویدیویی زوم به این معنی بود که هکر ها می توانستند ظرف چند دقیقه وارد مکالماتی شوند که با گذرواژه محافظت می شدند. این مسئله ناشی از نبود محدودیتی بر تعداد دفعات کوشش برای ورود به ملاقات های خصوصی با یک گذرواژه بود.
آن گونه گپ و گفت های ویدیویی بنا به تعریف، با یک گذرواژه شش رقمی محافظت می شدند، بدان معنا که یک میلیون احتمال برای ترکیب آن شش رقم وجود دارد (که تنها یکی از آن ها ترکیب درست است). در نتیجه، هکر ها تمامی ترکیبات متفاوت را نسبتا به سرعت و سهولت امتحان می کردند.
کاشف این آسیب پذیری تام آنتونی بود، نایب رئیس بخش فراوری در شرکت بهینه سازی موتور جست وجو به نام سرچ پایلوت، که اولین بار روز اول آوریل این نقص را به زوم گزارش داد. جزئیات این نقص تنها روز چهارشنبه اعلام شد، گرچه زوم گفت که روز نهم آوریل مسئله را حل نموده است؛ به این معنی که تماس های پس از آن تاریخ دیگر آسیب پذیر نبوده اند.
شواهدی در دست نیست که آن نقص امنیتی مورد استفاده هکر ها قرار گرفته باشد، ولی ماهیت چنین حمله هایی باعث می گردد که ردیابی شان تقریبا ناممکن باشد. آنتونی می گوید، این حملات ممکن است در طول جلسات بسیار محرمانه ویدیویی زوم در طول قرنطینه اواخر ماه مارس برای مقابله با همه گیری ویروس کرونا، اجرا شده باشد.
آنتونی در شرح این نقص در یک وبلاگ نوشت: روز 31 مارس، بوریس جانسون در توییتی گفت که اولین جلسه دیجیتالی کابینه را برگزار خواهد نمود. من هم جزو خیلی ها بودم که متوجه شدم تصویر صفحه کامپیوتر او حاوی شناسه جلسه زوم است.
روی صفحه کامپیوتر بوریس جانسون دیدم که یک کاربر خود را آیفون نامیده و دوربین و میکروفون او خاموش است. به این فکر افتادم که این نقص قبلا شناسایی شده یا نه. اگر من متوجهش شدم، احتمالا دیگران هم شده اند، که این نقص را بسیار نگران کننده می سازد.
این تازه ترین مورد از رشته مسایل مربوط به زوم است که در ماه مارس و آوریل شاهد روندی به نام بمباران زوم بود و افراد بدون دعوت وارد جلسات ویدیویی می شدند. در حادترین نمونه ها، ویدیو های کودک آزاری برای شرکت کنندگان در گپ و گفت ها نمایش داده می شد.
در واکنش به تازه ترین افشاگری، یک سخنگوی زوم گفت: وقتی از این مسئله باخبر شدیم، بی درنگ سرویس وب کلاینت زوم را از کار انداختیم تا در مدت زمانی که مشغول برطرف نقص هستیم، امنیت کاربرانمان تضمین گردد.
از آن موقع، محدودیت گذرواژه ها را بهبود داده ایم... و وب کلاینت را از نهم آوریل دوباره راه انداخته ایم. با این اصلاحات، مسئله پایان حل شد، و نیازی به اقدامی از سوی کاربران نیست. از هیچ موردی که سوءاستفاده ای اجرا شده باشد، خبر نداریم.
منبع: ایندیپندنت
منبع: فرادید