آسیبپذیری نرمافزار Zoom در سیستمهای مک و وصلهای برای برطرف کردن آن
شرکت زوم که امکان برگزاری ویدئو کنفرانس را فراهم میکند، امروز یک وصلهی جدید برای کاربران سیستمهای مک فراهم کرد تا آسیبپذیری روز صفر این کاربران را مرتفع کند. این وصله پس از آن تهیه شده که مشخص شد آسیبپذیری روز صفر ممکن است باعث شود تا کاربر مورد حمله قرار گیرد و ناخواسته در یک چت ویدئویی عضو شود که قصد آن را نداشته است. عکسالعمل زوم، در واقع موضعگیری آنها را نسبت به دیدگاه پیشین این شرکت نسبت به آسیبپذیری یادشده نشان میدهد که آن را «کمخطر» توصیف کرده بودند. آنها براساس دیدگاه پیشین از بهکارگیری سرورهای محلی دفاع کرده بودند اما این کار باعث میشد احتمال حمله نرمافزاری برای کاربران وجود داشته باشد. حالا آنها یک قدم به عقب برداشتهاند و آن را آسیبپذیری روز صفر میدانند.
در هشتم ژوئیه یک پژوهشگر امنیت بهنام جاناتان لیتش (Jonathan Leitschuh)، مشکل بزرگ آسیبپذیری روز صفر زوم (نرمافزار برگزاری ویدئو کنفرانس) در سیستمهای مک را بهصورت عمومی اعلام کرد. او گفت وقتی نرمافزار زوم روی سیستمهای مک نصب شده باشد، هر وبسایتی میتواند یک تماس ویدئویی با این سیستم برقرار کند. این مشکل از آنجا ناشی میشود که وقتی اپلیکیشن زوم روی این سیستمها نصب میشود، یک سرور را هم روی آن نصب میکند که درخواستهایی را قبول میکند که مرورگرهای معمولی آنها را نمیپذیرند. در واقع حتی اگر شما نرمافزار زوم را از روی سیستم خود حذف کنید، باز هم این سرور میتواند بدون اجازهی شما آن را روی سیستم نصب کند.
نسخهی آزمایشی که لیتش فراهم کرده، نشان میدهد در صورتی که قبلاً اپلیکیشن زوم را نصب کرده باشند (و در قسمت مربوط به اتصال خودکار به گفتگوهای ویدئویی تنظیمات را تغییر نداده باشند) بهطور خودکار وارد ویدئو کنفرانسهای ناخواسته میشوند و دوربین خودبه خود روشن میشود و در نتیجه آسیبپذیری کاربران بسیار بالا میرود. افراد دیگری هم در توییتر همین گزارش را دادهاند.
آسیبپذیری زوم بسیار بد است. من فقط برای اتصال به یک لینک اجازه دادم اما همزمان به سه گفتگوی ویدئویی دیگر هم هدایت شدم.ــMatt Haughey
لیتش ضمنِ اعلام این مشکل گفته است که در اواخر ماه مارس این مشکل را به زوم گوشزد کرده و به آنها ۹۰ روز فرصت داده تا آن را برطرف کنند. اما براساس آنچه در حساب کاربری لیتش بیان شده زوم برای برطرف کردن مشکل آسیبپذیری کاربران مک تلاش مقتضی را نداشته است. این مشکل به تیمهای موزیلا (Mozilla) و کرومیوم (Chromium) هم گزارش شده است اما چون ناشی از مرورگرهای آنها نیست، کار زیادی از دست آنها برنمیآمد.
با اینکه روشن شدن خودبهخودی دوربین به اندازهی کافی مشکل بزرگی هست، اما وجود سرور روی کامپیوتر مشکلات جدیتری را هم برای کاربران مک ایجاد میکند. بهعنوان مثال در نسخههای قبلی زوم (پس از وصله شدن) این امکان وجود داشت که با پینگ کردنهای متوالی، تأیید کنید به سیستم حمله نشده است.
البته شما بهراحتی میتوانید مشکل دوربین را حل کنید. برای این کار باید ابتدا اطمینان حاصل کنید که اپلیکیشن مک بهروزرسانی شده است؛ همچنین در اپلیکیشن زوم در قسمتی که اجازه دادهاید زوم در هنگام حضور در گفتگوها دوربین شما را روشن کند، آن را مطابق شکل زیر غیرفعال کنید. باز هم تأکید میکنیم که حذف زوم از روی سیستم مک مشکل را حل نمیکند چون در این صورت باز هم سرور نصبشده روری سیستم شما باقی میماند. خاموش کردن این سرور نیاز به تعدادی دستور در ترمینال دارد که در پایین این پست میتوانید آنها را ببینید.
براساس گفتهها، زوم اعلام کرده است که نصب سرور محلی روی سیستمها به این دلیل بوده تا کاربران بتوانند راحتتر و با تعداد کلیک کمتر گفتگوهای ویدئویی خود را آغاز کنند. این موضوع از آن لحاظ قابلتوجه بود که مرورگر سافاری به گونهای تغییر کرده که هر بار استفاده از زوم (و در نتیجه هر بار روشن شدن دوربین) نیاز به تأیید کاربر دارد. اما این سرور داخلی نیاز به این تأییدهای متوالی را مرتفع میکرد.
زوم مشکل امنیتی دوربین مک را با یک وصلهی فوری برطرف میکند
در آخرین بهروزرسانی وبلاگ شرکت زوم عنوان شده است که برای حل این مشکل قرار است با بهروزرسانی کلاینت زوم، همهی سرورهای محلی حذف شوند تا هکرها نتوانند بهصورت خودکار و با استفاده از لینک زوم، وبکم را فعال کنند. این آسیبپذیری از آنجا ناشی میشود که زوم یک سرور محلی را روی کامپیوترهای مک نصب میکند. این سرور اپلیکیشن مخصوص به خود را روی این سیستمها نصب میکند و اپلیکیشن یادشده میتواند میانبری برای گذر از مراحل امنیتی سافاری ۱۲ (Safari 12) داشته باشد و بهراحتی صفحهای برای کاربر باز کند و از او بخواهد عضویت در چتهای جدید را تأیید کند.
پس از اینکه این خبر منتشر شد، مسئول امنیت زوم، ریچارد فرلی (Richard Farely) در مورد افکاری که در ورای این اتفاق بود، صحبت کرد:
نهایتاً موضوع مهم برای ما، بازخورد کاربران همیشگیمان است که در بحثها نیز شرکت دارند. در ابتدا تصور ما این بود که نصب این سرورهای محلی به کاربران کمک خواهد کرد که بدون نیاز به تعداد زیادی کلیک بتوانند وارد گفتگوی ویدئویی جدیدی شوند. ما فکر میکردیم این تصمیم درستی است. این تصمیم به دلیل درخواستهایی بود که از طرف برخی کاربران دریافت کردیم.اما از طرفی متوجه شدیم برخی کاربران علاقهای به این سرورها ندارند و نمیخواهند یک بخش جدید روی سیستمهایشان نصب شود. بنابراین به خواست آنها احترام گذاشتیم و تصمیم گرفتیم سرورهای محلی را حذف کنیم (با وجود اینکه با این کار برای شروع یک گفتگوی جدید باید تعداد زیادی کلیک در سافاری داشت).
با وجود اینکه فرلی تأکید کرده بود سروری که در زوم نصب میشده، فقط تا اندازهی لازم اجازهی عملکرد داشته و از امنیت کافی برخوردار بوده، این شرکت تصمیم گرفته سرورها را حذف کند. یک نگرانی دیگر در مورد زوم، امکان قرارگیری لینکهای زوم در آی فریمهای (Iframes) صفحات وب است. فرلی در این مورد میگوید زوم این امکان را حذف نمیکند چون بسیاری از مشتریان تجاری زوم از امکان قراردهی آی فریم در زوم استفاده میکنند.
بهروزرسانی: وصلهی جدیدی که در تاریخ ۹ ژوئیه برای سیستمهای مک اعلام کردیم، در حال حاضر آماده است. جزئیات در مورد بخشهای مختلفی که در این وصله ترمیم شدهاند و چگونگی بهروزرسانی نرمافزار زوم در آن توضیح داده شده است. پست وبلاگ را اینجا ببینید.--Zoom
خلاصهای از بهروزرسانی ارائهشده توسط زوم و راهنمای نصب آن یا حذف کامل سرور محلی بهصورت زیر است:
در وصلهای که در تاریخ ۹ ژوئیه و تا ساعت 12:00 AM PT منتشر میشود، اقدامات زیر صورت میگیرد:۱.حذف کامل سرورهای محلی با بهروزرسانی کلاینت زوم: ما استفاده از سرورهای محلی در سیستمهای مک را متوقف میکنیم. وقتی وصله مورد استفاده قرار گیرد، کاربران مک وارد محیط کاربری زوم میشوند (UI) تا کلاینت خود را بهروزرسانی کنند. وقتی بهروزرسانی تکمیل شود، سرورهای محلی بهطور کامل از سیستم حذف شدهاند.۲. کاربران اجازه خواهند داشت بهصورت دستی زوم را حذف کنند: ما گزینهی جدیدی به منوی زوم اضافه کردهایم که از طریق آن کاربران میتوانند بهصورت دستی و کامل کلاینت زوم را حذف کنند بهطوریکه سرورهای محلی نصبشده روی سیستم هم حذف شود. وقتی وصله مورد استفاده قرار گیرد، یک منوی جدید ظاهر میشود که عبارت Uninstall Zoom (حذف زوم) را نشان میدهد. با کلیک روی این دکمه، زوم و تمام تنظیمات مربوط به آن در کامپیوتر کاربر، بهطور کامل حذف خواهد شد.
این شرکت گفته است که از ماه ژوئیه زوم با تغییرات کوچکی مواجه خواهد شد و این امکان برای کاربران حفظ میشود که در زمان برقراری تماس از طریق زوم بتوانند انتخاب کنند که آیا دوربین روشن شود یا خیر. در واقع به نظر نمیرسد زوم بخواهد روند عملکرد این اپلیکیشن را تغییر دهد یا مشکل حضور ناخواسته در تماسها را مرتفع کند، اما این امکان را به کاربر میدهد که بتواند حالت پیشفرض دوربین را «خاموش» انتخاب کند.