شعار قسم ميدان

تطبيق "زوم".. هل نحن أمام وباء يخترق خصوصيتنا؟

اضغط للاستماع

لم تكن بداية شُهرة تطبيق "زوم" (Zoom) لمُكالمات الفيديو على الإنترنت سعيدة جدا، فعلى الرغم من حصوله على أكثر من 200 مليون مُستخدم نشط يوميا بسبب وباء "كورونا" بعدما كان العدد 10 ملايين مُستخدم يومي فقط(1)، فإن الثغرات الأمنية التي عُثِر عليها خلال الأسابيع الأخيرة، والتي هدّدت خصوصيّة ملايين المُستخدمين، عكّرت صفو الإنجاز الذي يحلم به أي رائد أعمال في المجال التقني.

على الرغم من وجود تطبيقات مُختلفة لإجراء مُكالمات الفيديو عبر الإنترنت أهمّها "مسنجر" من فيسبوك أو "سكايب" (Skype) من مايكروسوفت، فإن "زوم" حظي بانتشار كبير جدا لا مثيل له بفضل سهولة الاستخدام، وإمكانية تسجيل المُكالمات، بالإضافة إلى إمكانية تأمين المُكالمة بكلمة مرور، وغيرها الكثير، ناهيك بلجوء الكثير من الشخصيات المهمّة مثل رئيس الوزراء البريطاني، على سبيل المثال لا الحصر، لاستخدامه في اجتماعات الحكومة اليومية(2). وهذا بدوره دفع المدارس والجامعات، رفقة المؤسّسات والشركات، لاستخدامه أيضا.

استمرّت رحلة تطبيق "زوم" الزاهية، التي بدأت في 2011 بالمُناسبة، في التحسّن يوما بعد يوم عقب استخدامه في إحياء حفلات الزفاف عبر الإنترنت بعد فرض حظر تجول شامل في بعض المُدن(3)، وفي إجراء فصول التدريب الرياضي بشكل افتراضي على شبكة الإنترنت(7)، وهي حملة دعائية مجانيّة أخرجته من عباءة التطبيق الرسمي المُستخدم في الشركات فقط، ليتحوّل خلال أسابيع قليلة فقط من مُجرّد تطبيق آخر لمُكالمات الفيديو إلى التطبيق الأكثر استخداما، وهو ما سلّط عليه الضوء أكثر وأكثر، وخصوصا من الناحية الأمنية.

وبناء على ما سبق، بدأت الهجمات المُنظّمة على التطبيق ومُستخدميه، هجمات بدأت بسيطة بالدخول خلسة إلى الاجتماعات، (ZoomBombing)، لمُشاركة الشاشة وعرض مقاطع مُسيئة أو إباحية(4)، وصولا لأُخرى تقوم بتسريب بيانات بسيطة عن المُشتركين في الاجتماع، وهذا غيض من فيض دفع وكالات استخباراتية عالمية للتحقيق في مستوى أمان التطبيق والمُكالمات التي تُجرى فيه(8).

يقوم "زوم" بتوليد مُعرّف عشوائي، مكوّن من 11 رقما على الأكثر، يُستَخدم في رابط خاص يقوم المُستخدم بمُشاركته مع البقيّة للدخول للاجتماع نفسه. هذا يعني أن أي شخص يحصل على الرابط، أو على المُعرّف، بإمكانه الانضمام مُباشرة. وفي حالة الاجتماعات الكبيرة، قد لا يلحظ أحد وجود شخص غير معروف من بين الحضور، وهو ما يمنح المُختلسين فرصة التسلّل لأي اجتماع وعرض المحتوى المُسيء.

استخدام الأرقام فقط في مُعرّفات الاجتماعات سهّل العملية على المُخترقين الذين قاموا بتطوير أداة تُعرف باسم (zWarDial) قادرة على اكتشاف ما يصل إلى 2400 مُعرّف لاجتماعات "زوم" يوميا(5)، ليقوموا بعدها بمُشاركتها فيما بينهم ضمن مجموعات خاصّة من أجل الدخول لتلك الاجتماعات وتنظيم هجمات بسيطة لا تُسبّب أضرارا في الخصوصيّة بقدر ما قد تُسبّبه من إحراجات ومشكلات خصوصا عندما تكون تلك الاجتماعات دراسيّة. وعلاوة على ما سبق، فإن تلك الأداة قادرة على التكهّن بصحّة أي مُعرّف يُمرَّر لها بنسبة 14٪، أي إنها لا تقوم بتوليد الأرقام العشوائية فقط، بل أصبحت قادرة على فهم سلوك خوادم "زوم" لتحديد صلاحيّة المُعرّف أيضا.

من الناحية التقنية، فإن تلك المشكلات ليست عصيّة الحل بشكل آني، حتى دون تدخّل مُباشر من القائمين على تطبيق "زوم"، لأن مُشكلة دخول المُستخدمين خلسة إلى الاجتماعات يُمكن حلّها بتفعيل خيار تأمين الاجتماع بكلمة مرور لا يُمكن لأي شخص الانضمام دون إدخالها. أما مُشاركة الشاشة، فهو خيار آخر يُمكن تعطيله عند الجميع ليبقى مُدير الاجتماع (Host) هو الشخص الوحيد القادر على القيام بهذا الأمر، وهو الذي يحظى أيضا بإمكانية كتم (Mute) جميع المُشاركين، وبالتالي تعطيل أية مُحاولات للاختراق(6).

لم يأتِ تدخّل مكتب التحقيقات الفيدرالي (FBI) وتحقيقاته في مستوى أمان "زوم" بسبب المشكلات آنفة الذكر، فالتهديدات الأمنية التي عُثِر عليها في التطبيق أعقد بكثير من مُجرّد الحصول على مُعرّف الاجتماع والدخول خلسة له.

في وادي السيليكون (Silicon Valley)، الذي يستضيف كُبرى الشركات التقنية على مستوى العالم، هُناك مَثَل قائل: "إنها ليست ثغرة، بل ميزة" (It’s not a Bug, but a feature)، كنوع من التهكّم على الثغرات الغريبة التي تظهر في التطبيقات، الأمر الذي ينطبق على واحدة من الثغرات التي عُثِر عليها في "زوم"، والتي يُمكن اعتبارها الأقل ضرارا على خصوصيّة المُستخدم.

يُقدِّم التطبيق ميزة "دليل الشركة" (Company Directory) التي تقوم بعرض جميع أسماء موظّفي الشركة لتسهيل عمليّة التواصل فيما بينهم. هذا يعني من الناحية التقنية أن أي شخص ببريد إلكتروني خاص تابع لهيئة ما مثل (@amazon.com) أو (@aljazeera.net) يعتبره التطبيق فردا من تلك المؤسّسة وسيعرض له بيانات جميع العاملين فيها من أسماء وصور وعناوين بريد إلكتروني. ما سبق يعني أيضا أن أي حسابات عامّة مثل (@Gmail) أو (@Hotmail) لن تُؤخذ بعين الاعتبار في تلك الميزة، لكن ما حصل كان عكس ذلك.

أكّد أحد المُستخدمين أنه عثر على أكثر من 900 اسم لديه في قائمة الأسماء داخل "زوم" في يوم من الأيام على الرغم من استخدامه لعنوان بريد إلكتروني عام تابع لواحدة من شركات الاتصالات في هولندا(9)، وهو ما أكّدته شركة "زوم" مع طمأنة المُستخدمين أن الثغرة لم تعد موجودة.

هذا ليس كل ما في الأمر بكل تأكيد، فالتطبيق لسبب ما كان يُحاول معرفة هويّة مُستخدميه بعد الاستعانة بـ "لينكد إن" (LinkedIn)، وهذا يحدث عندما يكون أحد المُشاركين في الاجتماع مُشتركا بواحدة من خدمات "لينكد إن" المعروفة بـ (LinkedIn Sales Navigator) التي تسمح بالعثور على بيانات المُستخدمين بواسطة الاسم والبريد الإلكتروني، وبالتالي سيقوم التطبيق بالبحث عن مزيد من البيانات الخاصّة بأي شخص داخل الاجتماع عندما تُتاح الفرصة له، وهو ما اعتذرت الشركة عنه وأعلنت إيقافه بشكل فوري، دون معرفة الدوافع خلف مثل هذا الأمر(10).

لا يُمكن الحديث عن الثغرات الأمنية وتسريب بيانات المُستخدمين دون التطرّق لشبكة فيسبوك التي تُعتبر الأبرز في هذا المجال، فتطبيق "زوم" ارتبط مع فيسبوك على هذا الصعيد أيضا، وهذه المرّة بسبب حزمة فيسبوك البرمجيّة التي تُتيح للمُستخدمين تسجيل الدخول في "زوم" باستخدام حسابهم في الشبكة الاجتماعية(11).

الثغرة كانت موجودة في تطبيق "زوم" المتوفّر لأجهزة آبل الذكيّة، وفيه كانت الحزمة البرمجية تقوم بإرسال معلومات مثل نوع جهاز المُستخدم ومدينته لشبكة فيسبوك، وهذا في الغالب لاستخدامه في تحليل البيانات وليس لجمع معلومات أكثر عن المُستخدمين، لأن الحزمة لا تجمع أي بيانات شخصيّة بحسب التحرّيات.

أما الأمر الأكثر ريبة، فهو لجوء مُهندسي "زوم" لآلية مُلتوية في تثبيت التحديثات الجديدة للتطبيق على نظام "ماك أو إس" (macOS)، آلية تُستخدم من قِبل مُطوّري البرمجيات الخبيثة للتحايل على نظام الصلاحيات في حواسب آبل، الأمر الذي أقرّ به الرئيس التنفيذي لشركة "زوم" واعتذر عنه أيضا(12).

وإذا ما كانت الأدلّة السابقة ليست كفيلة بإدانة "زوم"، فإن تلاعبها بالمُصطلحات التقنية كفيل بذلك، فالشركة ذكرت في اتفاقيّة الاستخدام الخاصّة بها أن الاجتماعات مُشفّرة بشكل كامل (end-to-end)، لتكشف دراسة أمنيّة أن مُكالمات الفيديو ليست مُشفّرة مثلما تزعم الشركة.

في تطبيقات مثل "تيليغرام" (Telegram) أو "واتس آب" (WhatsApp) يُلجأ إلى التشفير الكامل للرسائل والمُكالمات، وهذا يعني أن النظام يقوم بتوليد مفاتيح تشفير موجودة على جهازَيْ المُرسل والمُستقبل فقط، وهي مفاتيح مسؤولة عن فك تشفير البيانات، وعدم امتلاكها يعني أن المُخترق حتى عند وصوله لتلك البيانات فسيحصل عليها مُشفّرة، لأن مفاتيح فك التشفير لا تتوفّر للعموم، وهنا كذبت "زوم" قليلا.

     undefined

ما قصدته الشركة باستخدام التشفير الكامل (end-to-end) في مُكالمات الفيديو هو استخدام بروتوكول تبادل البيانات الآمن (HTTPS)، الذي يفرض تشفيرا بشكل أو بآخر لكنه ليس بمستوى أمان التشفير الكامل، في وقت تُشفَّر فيه المحادثات داخل "زوم" بشكل كامل بالفعل. بالنظر إلى مُمارسات "زوم" السابقة، فإن حُسن النيّة في التلاعب بالمُصطلحات لا يُمكن أن يُؤخذ بعين الاعتبار، خصوصا أن الخصوصيّة على مستوى مثل هذه التطبيقات أمر مهم جدا بالنظر إلى حجم الشخصيات التي تلجأ لاستخدامها(13).

ومثلما تعهّد "مارك زوكربيرغ" (Mark Zuckerberg) سابقا بإصلاح مشكلات فيسبوك التي تُهدِّد أمن المُستخدم، تعهّد الرئيس التنفيذي لشركة "زوم" بهذا الأمر وأعلن إيقاف العمل على مزايا جديدة لمدّة 90 يوما للتركيز على حل المشكلات الأمنيّة والثغرات التي يُعثَر عليها أولا بأول، في محاولة منه لإصلاح ما هدمته الصحافة والتحقيقات خلال الأسابيع القليلة الماضية، بعد صعود سريع للقمّة قد ينتج عنه سقوط بالسرعة نفسها(14).

المصدر : الجزيرة