Zoom به اشتباه خود در هدایت داده‌های کاربران به سرورهای چین اعتراف کرد

همه‌گیری کرونا باعث شده است استفاده از نرم‌افزار ارتباطی زوم با افزایش شدیدی رو‌به‌رو شود؛ بااین‌حال، مشکلات امنیتی متعدد این نرم‌افزار باعث تبدیل آن به کابوسی امنیتی برای افراد و شرکت‌ها شده است. جدیدترین بررسی‌های محققان مؤسسه رصد سایبری سیتیزن‌لب آشکار کرده‌اند برخی تماس‌های کاربران آمریکایی این پلتفرم به‌همراه کلیدهای رمزگشایی‌شان از سرورهای واقع در چین عبور کرده‌اند.

در اسناد نرم‌افزار زوم ادعا شده است این نرم‌افزار برای ایمن‌سازی تماس‌ها تا حد امکان از رمزنگاری AES-256 استفاده می‌کند. باوجوداین، یافته‌های کارشناسان مؤسسه سیتیزن‌لب آشکار ساخته‌اند که در همه‌ی تماس‌های این نرم‌افزار برای تمامی شرکت‌کنندگان در جلسه، تنها از یک کلید AES-128 با شیوه‌ی رمزنامه الکترونیکی (ECB) برای رمزنگاری و رمزگشایی صدا و تصویر استفاده می‌شود. استفاده از شیوه‌ی ECB چندان توصیه نمی‌شود؛ زیرا الگوهای موجود در متن‌آشکار حین تبدیل به متن‌رمز همچنان حفظ می‌شوند. 

به‌گفته‌ی این مؤسسه، سرورهای زوم کلیدهای AES-128 را ایجاد می‌کنند؛ کلید‌هایی که برای رمزگشایی تماس‌ها کافی هستند. مشاهده شده است در برخی موارد این کلیدها با وجود اینکه هیچ‌یک از شرکت‌کنندگان جلسه‌ی ویدئویی در چین حضور نداشتند، از سرورهای واقع در این کشور عبور کرده‌اند.

سیتیزن‌لب همچنین در گزارش خود اشاره کرده است زوم با وجود داشتن مقری در سیلیکون‌ولی، صاحب سه شرکت زیرمجموعه در کشور چین است که ازطریق آن‌ها حداقل ۷۰۰ کارمند برای توسعه‌ی نرم‌افزار زوم استخدام کرده است. به‌ظاهر زوم قصد دارد بدین‌طریق بدون پرداخت دستمزدهای هنگفت به کاربران خدمات‌رسانی کند و از این طریق حاشیه‌ی سود خود را افزایش دهد. این حرکت درعین‌حال می‌تواند شرکت را دربرابر فشارهای مقام‌های چینی آسیب‌پذیر کند.

زوم چندی پیش در پستی در بلاگ خود اظهار کرده بود کنترل‌های داخلی قدرتمند و معتبری اجرا کرده است که از دسترسی غیرمجاز به محتوای تماس‌ها جلوگیری می‌کنند؛ بااین‌حال نمی‌توان چنین حرفی را با اطمینان درباره‌ی مقام‌های چینی زد. این مقام‌ها ممکن است زوم را برای تسلیم‌کردن کلیدهای رمزگشایی تماس‌های عبوری زیرفشار قرار دهند.

زوم چند ساعت پس از گزارش مؤسسه‌ی سیتیزن‌لب، در بیانیه‌ای به عبور داده‌های کاربران سایر کشورها از سرورهای چینی اعتراف و بابت این مسئله عذرخواهی کرد. این شرکت اذعان کرده است در تلاش برای افزایش سریع ظرفیت سرورها برای پاسخ‌گویی به حجم زیاد تماس‌ها در هفته‌های اخیر، اشتباها اجازه داده است دو دیتاسنتر چینی در زمان ازدحام ترافیک شبکه به‌عنوان دیتاسنتر پشتیبان استفاده شوند.

اریک یوان، مدیرعامل زوم، دراین‌باره گفته است:

در مواقع عادی، کلاینت نرم‌افزار زوم به مجموعه‌ای از دیتاسنترهای اصلی در محدوده‌ی سکونت کاربر یا نزدیک به آن متصل می‌شوند. درصورتی‌که اتصال به این دیتاسنترها به‌دلیل ازدحام شبکه یا مسائل دیگر میسر نشود، کلاینت زوم به دو دیتاسنتر پشتیبان درخواست اتصال می‌دهد. این دیتاسنترها از فهرست دیتاسنترهایی گزینش می‌شوند که به‌عنوان پشتیبان تعبیه شده‌اند. کلاینت‌های نرم‌افزار زوم در تمامی موارد به‌همراه فهرستی از دیتاسنترهای مناسب برای منطقه‌ی جغرافیایی کاربر ارائه می‌شوند. به‌کارگیری چنین سامانه‌ای برای قابل‌اتکا‌بودن خدمات پلتفرم زوم بسیار حیاتی است؛ به‌ویژه در مواقعی که بار اینترنتی سنگینی وجود دارد.

به‌عبارت‌دیگر، تماس‌های کاربران آمریکای‌شمالی قرار است در همین منطقه باقی بمانند و تماس‌های کاربران اروپایی، تنها از سرورهای همین منطقه عبور خواهند کرد. بااین‌حال در زمان اوج‌گیری ترافیک، شبکه ترافیک مازاد را به نزدیک‌ترین دیتاسنتر با بیشترین ظرفیت آزاد هدایت می‌کند. البته سرورهای چین به‌‌دلیل بی‌اعتمادی شرکت‌های غربی و نگرانی‌های امنیتی در این موضوع استثنا هستند و داده‌های دیگر کشورها حتی در زمان شلوغی سرورها نیز به‌سمت چین هدایت نمی‌شوند. حال به‌نظر می‌رسد زوم این قاعده را نقض کرده است و در زمان اوج ترافیک شبکه، داده‌های کاربران آمریکای‌شمالی ‌به ‌سمت سرورهای چینی هدایت کرده است.

زوم در بیانیه‌ی خود اضافه کرده است این اتفاق در «مواقعی بسیار محدود» رخ داده؛ اما از اعلام تعداد کاربران تأثیرپذیرفته خودداری کرده است. این شرکت همچنین گفته است کاربران مشمول طرح اختصاصی دولت‌ها از این اتفاق تأثیر نپذیرفته‌اند و فهرست دیتاسنترهای پشتیبان خود را برای جلوگیری از تکرار این مسئله تصحیح کرده است. بااین‌حال، هنوز چند پرسش بی‌پاسخ وجود دارند.

پست ارسال‌شده در بلاگ شرکت زوم، تنها اشاره‌ی مختصری به طراحی سیستم رمزنگاری این پلتفرم می‌کند. مؤسسه‌ی سیتیزن‌لب از این شرکت به‌دلیل استفاده از سیستم رمزنگاری اختصاصی انتقاد کرده است. کارشناسان امنیتی تاکنون به‌دفعات تلاش شرکت‌ها برای ایجاد سیستم‌های رمزنگاری اختصاصی را نپذیرفتنی دانسته‌اند؛ زیرا این سیستم‌ها برخلاف سیستم‌های رمزنگاری استاندارد قدیمی و پرکاربرد، بازبینی دقیق و موشکافانه نشده‌اند.

زوم در دفاع از خود ادعا کرده است سیستم رمزنگاری اختصاصی‌اش بهتر از سایر سیستم‌ها عمل می‌کند و برای بازه‌ی وسیعی از کاربردها استفاده می‌شود. زوم همچنین گفته است با کارشناسان امنیتی در خارج از این شرکت نیز همکاری می‌کند؛ اما از ذکر نام آن‌ها خودداری کرده است.

بیل مارساک، یکی از کارشناسان مؤسسه‌ی سیتیزن‌لب، گفته است در‌باره‌ی پاسخ شرکت زوم «خوش‌بینی محتاطانه‌ای» دارد:

مسئله‌ی بزرگ‌تر در اینجا این است که زوم ظاهرا سیستم اختصاصی خود را برای رمزنگاری و ایمن‌سازی تماس‌ها به‌کار گرفته است. زوم در پکن سرورهایی دارد که به کلیدهای رمزگشایی تماس‌ها دسترسی دارند. دستیابی به یک کپی از ترافیک شبکه‌ی اینترنت که محتوی تماس‌های رمزنگاری‌شده‌ی پراهمیت زوم باشند، برای مقام‌های پرنفوذ احتمالا کار چندان سختی نیست. هجوم کاربران به پلتفرم‌هایی نظیر زوم در بحبوحه‌ی همه‌گیری کووید ۱۹ این پلتفرم‌ها را به هدفی نه‌فقط برای چین، بلکه برای بسیاری از سازمان‌های اطلاعاتی تبدیل کرده است. خوشبختانه این شرکت تاکنون در واکنش به بررسی‌های موشکافانه‌ی کارشناسان امنیتی از نرم‌افزار خود عکس‌العمل مناسبی نشان داده و متعهد شده است امنیت پلتفرم ارتباطی خود را بهبود بخشد.

پست ارسال‌شده در بلاگ شرکت زوم گام مثبتی در جهت شفاف‌سازی عملکردهای این شرکت محسوب می‌شود. این شرکت چندی پیش اعلام کرد در ۹۰ روز آینده ویژگی جدیدی به نرم‌افزار ارتباطی خود اضافه نخواهد کرد و همه‌ی منابع خود را روی شناسایی و رفع نقایص امنیتی متمرکز خواهد کرد؛ بااین‌حال، هنوز زیر فشارهای زیادی قرار دارد. زوم به‌تازگی با تحقیقات دادستان نیویورک و دو پرونده‌ی دادخواست حقوقی مواجه شده است و چندین نماینده‌ی کنگره‌ی ایالات‌ متحده‌ی آمریکا نیز امروز در بیانیه‌ای از این شرکت خواستند تدابیر خود درزمینه‌ی محافظت بیشتر از حریم خصوصی کاربران را برای نمایندگان تشریح کند.