آسیب‌پذیری نرم‌افزار Zoom در سیستم‌های مک و وصله‌ای برای برطرف کردن آن

شرکت زوم که امکان برگزاری ویدئو کنفرانس را فراهم می‌کند، امروز یک وصله‌ی جدید برای کاربران سیستم‌های مک فراهم کرد تا آسیب‌پذیری روز صفر این کاربران را مرتفع کند. این وصله پس از آن تهیه شده که مشخص شد آسیب‌پذیری روز صفر ممکن است باعث شود تا کاربر مورد حمله قرار گیرد و ناخواسته در یک چت ویدئویی عضو شود که قصد آن را نداشته‌ است. عکس‌العمل زوم، در واقع موضع‌گیری آن‌ها را نسبت به دیدگاه پیشین این شرکت نسبت به آسیب‌پذیری یادشده نشان می‌دهد که آن را «کم‌خطر» توصیف کرده‌ بودند. آن‌ها براساس دیدگاه پیشین از به‌کارگیری سرورهای محلی دفاع کرده بودند اما این کار باعث می‌شد احتمال حمله نرم‌افزاری برای کاربران وجود داشته باشد. حالا آن‌ها یک قدم به عقب برداشته‌اند و آن را آسیب‌پذیری روز صفر می‌دانند.

در هشتم ژوئیه یک پژوهشگر امنیت به‌نام جاناتان لیتش (Jonathan Leitschuh)، مشکل بزرگ آسیب‌پذیری روز صفر زوم (نرم‌افزار برگزاری ویدئو کنفرانس) در سیستم‌های مک را به‌صورت عمومی اعلام کرد. او گفت وقتی نرم‌افزار زوم روی سیستم‌های مک نصب شده باشد، هر وب‌سایتی می‌تواند یک تماس ویدئویی با این سیستم برقرار کند. این مشکل از آنجا ناشی می‌شود که وقتی اپلیکیشن زوم روی این سیستم‌ها نصب می‌شود، یک سرور را هم روی آن نصب می‌کند که درخواست‌هایی را قبول می‌کند که مرورگرهای معمولی آن‌ها را نمی‌پذیرند. در واقع حتی اگر شما نرم‌افزار زوم را از روی سیستم خود حذف کنید، باز هم این سرور می‌تواند بدون اجازه‌ی شما آن را روی سیستم نصب کند.

آسیب‌پذیری زوم بسیار بد است. من فقط برای اتصال به یک لینک اجازه دادم اما هم‌زمان به سه گفتگوی ویدئویی دیگر هم هدایت شدم.ــMatt Haughey

لیتش ضمنِ اعلام این مشکل گفته است که در اواخر ماه مارس این مشکل را به زوم گوشزد کرده و به آن‌ها ۹۰ روز فرصت داده‌ تا آن را برطرف کنند. اما براساس آنچه در حساب کاربری لیتش بیان شده زوم برای برطرف کردن مشکل آسیب‌پذیری کاربران مک تلاش مقتضی را نداشته است. این مشکل به تیم‌های موزیلا (Mozilla) و کرومیوم (Chromium) هم گزارش شده است اما چون ناشی از مرورگرهای آن‌ها نیست، کار زیادی از دست آن‌ها برنمی‌آمد.

با اینکه روشن شدن خودبه‌خودی دوربین به اندازه‌ی کافی مشکل بزرگی هست، اما وجود سرور روی کامپیوتر مشکلات جدی‌تری را هم برای کاربران مک ایجاد می‌کند. به‌عنوان مثال در نسخه‌های قبلی زوم (پس از وصله شدن) این امکان وجود داشت که با پینگ کردن‌های متوالی، تأیید کنید به سیستم حمله نشده‌ است.

البته شما به‌راحتی می‌توانید مشکل دوربین را حل کنید. برای این کار باید ابتدا اطمینان حاصل کنید که اپلیکیشن مک به‌روزرسانی شده‌ است؛ همچنین در اپلیکیشن زوم در قسمتی که اجازه داده‌اید زوم در هنگام حضور در گفتگوها دوربین شما را روشن کند، آن را مطابق شکل زیر غیرفعال کنید. باز هم تأکید می‌کنیم که حذف زوم از روی سیستم مک مشکل را حل نمی‌کند چون در این صورت باز هم سرور نصب‌شده روری سیستم شما باقی می‌ماند. خاموش کردن این سرور نیاز به تعدادی دستور در ترمینال دارد که در پایین این پست می‌توانید آن‌ها را ببینید.

براساس گفته‌ها، زوم اعلام کرده است که نصب سرور محلی روی سیستم‌ها به این دلیل بوده تا کاربران بتوانند راحت‌تر و با تعداد کلیک کمتر گفتگوهای ویدئویی خود را آغاز کنند. این موضوع از آن لحاظ قابل‌توجه بود که مرورگر سافاری به گونه‌ای تغییر کرده که هر بار استفاده از زوم (و در نتیجه هر بار روشن شدن دوربین) نیاز به تأیید کاربر دارد. اما این سرور داخلی نیاز به این تأییدهای متوالی را مرتفع می‌کرد.

در آخرین به‌روزرسانی وبلاگ شرکت زوم عنوان شده است که برای حل این مشکل قرار است با به‌روزرسانی کلاینت زوم، همه‌ی سرورهای محلی حذف شوند تا هکرها نتوانند به‌صورت خودکار و با استفاده از لینک زوم، وب‌کم را فعال کنند. این آسیب‌پذیری از آنجا ناشی می‌شود که زوم یک سرور محلی را روی کامپیوترهای مک نصب می‌کند. این سرور اپلیکیشن مخصوص به خود را روی این سیستم‌ها نصب می‌کند و اپلیکیشن یادشده می‌تواند میانبری برای گذر از مراحل امنیتی سافاری ۱۲ (Safari 12) داشته باشد و به‌راحتی صفحه‌ای برای کاربر باز کند و از او بخواهد عضویت در چت‌های جدید را تأیید کند.

پس از اینکه این خبر منتشر شد، مسئول امنیت زوم، ریچارد فرلی (Richard Farely) در مورد افکاری که در ورای این اتفاق بود، صحبت کرد:

نهایتاً موضوع مهم برای ما، بازخورد کاربران همیشگی‌مان است که در بحث‌ها نیز شرکت دارند. در ابتدا تصور ما این بود که نصب این سرورهای محلی به کاربران کمک خواهد کرد که بدون نیاز به تعداد زیادی کلیک بتوانند وارد گفتگوی ویدئویی جدیدی شوند. ما فکر می‌کردیم این تصمیم درستی است. این تصمیم به دلیل درخواست‌هایی بود که از طرف برخی کاربران دریافت کردیم.اما از طرفی متوجه شدیم برخی کاربران علاقه‌ای به این سرورها ندارند و نمی‌خواهند یک بخش جدید روی سیستم‌هایشان نصب شود. بنابراین به خواست آن‌ها احترام گذاشتیم و تصمیم گرفتیم سرورهای محلی را حذف کنیم (با وجود اینکه با این کار برای شروع یک گفتگوی جدید باید تعداد زیادی کلیک در سافاری داشت).

با وجود اینکه فرلی تأکید کرده‌ بود سروری که در زوم نصب می‌شده، فقط تا اندازه‌ی لازم اجازه‌ی عملکرد داشته و از امنیت کافی برخوردار بوده، این شرکت تصمیم گرفته سرورها را حذف کند. یک نگرانی دیگر در مورد زوم، امکان قرارگیری لینک‌های زوم در آی فریم‌های (Iframes) صفحات وب است. فرلی در این مورد می‌گوید زوم این امکان را حذف نمی‌کند چون بسیاری از مشتریان تجاری زوم از امکان قراردهی آی فریم در زوم استفاده می‌کنند.

به‌روزرسانی: وصله‌ی جدیدی که در تاریخ ۹ ژوئیه برای سیستم‌های مک اعلام کردیم، در حال حاضر آماده است. جزئیات در مورد بخش‌های مختلفی که در این وصله ترمیم شده‌اند و چگونگی به‌روزرسانی نرم‌افزار زوم در آن توضیح داده شده‌ است. پست وبلاگ را اینجا ببینید.--Zoom 

خلاصه‌ای از به‌روزرسانی ارائه‌شده توسط زوم و راهنمای نصب آن یا حذف کامل سرور محلی به‌صورت زیر است:

در وصله‌ای که در تاریخ ۹ ژوئیه و تا ساعت 12:00 AM PT منتشر می‌شود، اقدامات زیر صورت می‌گیرد:۱.حذف کامل سرورهای محلی با به‌روزرسانی کلاینت زوم: ما استفاده از سرورهای محلی در سیستم‌های مک را متوقف می‌کنیم. وقتی وصله مورد استفاده قرار گیرد، کاربران مک وارد محیط کاربری زوم می‌شوند (UI) تا کلاینت خود را به‌روزرسانی کنند. وقتی به‌روزرسانی تکمیل شود، سرورهای محلی به‌طور کامل از سیستم حذف شده‌اند.۲. کاربران اجازه خواهند داشت به‌صورت دستی زوم را حذف کنند: ما گزینه‌ی جدیدی به منوی زوم اضافه کرده‌ایم که از طریق آن کاربران می‌توانند به‌صورت دستی و کامل کلاینت زوم را حذف کنند به‌طوری‌که سرورهای محلی نصب‌شده روی سیستم هم حذف شود. وقتی وصله مورد استفاده قرار گیرد، یک منوی جدید ظاهر می‌شود که عبارت Uninstall Zoom  (حذف زوم) را نشان می‌دهد. با کلیک روی این دکمه، زوم و تمام تنظیمات مربوط به آن در کامپیوتر کاربر، به‌طور کامل حذف خواهد شد.

این شرکت گفته‌ است که از ماه ژوئیه زوم با تغییرات کوچکی مواجه خواهد شد و این امکان برای کاربران حفظ می‌شود که در زمان برقراری تماس از طریق زوم بتوانند انتخاب کنند که آیا دوربین روشن شود یا خیر. در واقع به نظر نمی‌رسد زوم بخواهد روند عملکرد این اپلیکیشن را تغییر دهد یا مشکل حضور ناخواسته در تماس‌ها را مرتفع کند، اما این امکان را به کاربر می‌دهد که بتواند حالت پیش‌فرض دوربین را «خاموش» انتخاب کند.