Zoom به اشتباه خود در هدایت دادههای کاربران به سرورهای چین اعتراف کرد
همهگیری کرونا باعث شده است استفاده از نرمافزار ارتباطی زوم با افزایش شدیدی روبهرو شود؛ بااینحال، مشکلات امنیتی متعدد این نرمافزار باعث تبدیل آن به کابوسی امنیتی برای افراد و شرکتها شده است. جدیدترین بررسیهای محققان مؤسسه رصد سایبری سیتیزنلب آشکار کردهاند برخی تماسهای کاربران آمریکایی این پلتفرم بههمراه کلیدهای رمزگشاییشان از سرورهای واقع در چین عبور کردهاند.
نرمافزار زوم برخلاف ادعای سازندگانش از رمزگذاری سرتاسری (end-to-end encrypted) استفاده نمیکند؛ درنتیجه، سازندگان این پلتفرم کلیدهای رمزگشایی تماسهای کاربران را کنترل میکند و بهراحتی میتوانند به محتوای تماسها دسترسی پیدا کند.
در اسناد نرمافزار زوم ادعا شده است این نرمافزار برای ایمنسازی تماسها تا حد امکان از رمزنگاری AES-256 استفاده میکند. باوجوداین، یافتههای کارشناسان مؤسسه سیتیزنلب آشکار ساختهاند که در همهی تماسهای این نرمافزار برای تمامی شرکتکنندگان در جلسه، تنها از یک کلید AES-128 با شیوهی رمزنامه الکترونیکی (ECB) برای رمزنگاری و رمزگشایی صدا و تصویر استفاده میشود. استفاده از شیوهی ECB چندان توصیه نمیشود؛ زیرا الگوهای موجود در متنآشکار حین تبدیل به متنرمز همچنان حفظ میشوند.
بهگفتهی این مؤسسه، سرورهای زوم کلیدهای AES-128 را ایجاد میکنند؛ کلیدهایی که برای رمزگشایی تماسها کافی هستند. مشاهده شده است در برخی موارد این کلیدها با وجود اینکه هیچیک از شرکتکنندگان جلسهی ویدئویی در چین حضور نداشتند، از سرورهای واقع در این کشور عبور کردهاند.
سیتیزنلب همچنین در گزارش خود اشاره کرده است زوم با وجود داشتن مقری در سیلیکونولی، صاحب سه شرکت زیرمجموعه در کشور چین است که ازطریق آنها حداقل ۷۰۰ کارمند برای توسعهی نرمافزار زوم استخدام کرده است. بهظاهر زوم قصد دارد بدینطریق بدون پرداخت دستمزدهای هنگفت به کاربران خدماترسانی کند و از این طریق حاشیهی سود خود را افزایش دهد. این حرکت درعینحال میتواند شرکت را دربرابر فشارهای مقامهای چینی آسیبپذیر کند.
زوم چندی پیش در پستی در بلاگ خود اظهار کرده بود کنترلهای داخلی قدرتمند و معتبری اجرا کرده است که از دسترسی غیرمجاز به محتوای تماسها جلوگیری میکنند؛ بااینحال نمیتوان چنین حرفی را با اطمینان دربارهی مقامهای چینی زد. این مقامها ممکن است زوم را برای تسلیمکردن کلیدهای رمزگشایی تماسهای عبوری زیرفشار قرار دهند.
زوم چند ساعت پس از گزارش مؤسسهی سیتیزنلب، در بیانیهای به عبور دادههای کاربران سایر کشورها از سرورهای چینی اعتراف و بابت این مسئله عذرخواهی کرد. این شرکت اذعان کرده است در تلاش برای افزایش سریع ظرفیت سرورها برای پاسخگویی به حجم زیاد تماسها در هفتههای اخیر، اشتباها اجازه داده است دو دیتاسنتر چینی در زمان ازدحام ترافیک شبکه بهعنوان دیتاسنتر پشتیبان استفاده شوند.
اریک یوان، مدیرعامل زوم، دراینباره گفته است:
در مواقع عادی، کلاینت نرمافزار زوم به مجموعهای از دیتاسنترهای اصلی در محدودهی سکونت کاربر یا نزدیک به آن متصل میشوند. درصورتیکه اتصال به این دیتاسنترها بهدلیل ازدحام شبکه یا مسائل دیگر میسر نشود، کلاینت زوم به دو دیتاسنتر پشتیبان درخواست اتصال میدهد. این دیتاسنترها از فهرست دیتاسنترهایی گزینش میشوند که بهعنوان پشتیبان تعبیه شدهاند. کلاینتهای نرمافزار زوم در تمامی موارد بههمراه فهرستی از دیتاسنترهای مناسب برای منطقهی جغرافیایی کاربر ارائه میشوند. بهکارگیری چنین سامانهای برای قابلاتکابودن خدمات پلتفرم زوم بسیار حیاتی است؛ بهویژه در مواقعی که بار اینترنتی سنگینی وجود دارد.
بهعبارتدیگر، تماسهای کاربران آمریکایشمالی قرار است در همین منطقه باقی بمانند و تماسهای کاربران اروپایی، تنها از سرورهای همین منطقه عبور خواهند کرد. بااینحال در زمان اوجگیری ترافیک، شبکه ترافیک مازاد را به نزدیکترین دیتاسنتر با بیشترین ظرفیت آزاد هدایت میکند. البته سرورهای چین بهدلیل بیاعتمادی شرکتهای غربی و نگرانیهای امنیتی در این موضوع استثنا هستند و دادههای دیگر کشورها حتی در زمان شلوغی سرورها نیز بهسمت چین هدایت نمیشوند. حال بهنظر میرسد زوم این قاعده را نقض کرده است و در زمان اوج ترافیک شبکه، دادههای کاربران آمریکایشمالی به سمت سرورهای چینی هدایت کرده است.
زوم در بیانیهی خود اضافه کرده است این اتفاق در «مواقعی بسیار محدود» رخ داده؛ اما از اعلام تعداد کاربران تأثیرپذیرفته خودداری کرده است. این شرکت همچنین گفته است کاربران مشمول طرح اختصاصی دولتها از این اتفاق تأثیر نپذیرفتهاند و فهرست دیتاسنترهای پشتیبان خود را برای جلوگیری از تکرار این مسئله تصحیح کرده است. بااینحال، هنوز چند پرسش بیپاسخ وجود دارند.
پست ارسالشده در بلاگ شرکت زوم، تنها اشارهی مختصری به طراحی سیستم رمزنگاری این پلتفرم میکند. مؤسسهی سیتیزنلب از این شرکت بهدلیل استفاده از سیستم رمزنگاری اختصاصی انتقاد کرده است. کارشناسان امنیتی تاکنون بهدفعات تلاش شرکتها برای ایجاد سیستمهای رمزنگاری اختصاصی را نپذیرفتنی دانستهاند؛ زیرا این سیستمها برخلاف سیستمهای رمزنگاری استاندارد قدیمی و پرکاربرد، بازبینی دقیق و موشکافانه نشدهاند.
زوم در دفاع از خود ادعا کرده است سیستم رمزنگاری اختصاصیاش بهتر از سایر سیستمها عمل میکند و برای بازهی وسیعی از کاربردها استفاده میشود. زوم همچنین گفته است با کارشناسان امنیتی در خارج از این شرکت نیز همکاری میکند؛ اما از ذکر نام آنها خودداری کرده است.
بیل مارساک، یکی از کارشناسان مؤسسهی سیتیزنلب، گفته است دربارهی پاسخ شرکت زوم «خوشبینی محتاطانهای» دارد:
مسئلهی بزرگتر در اینجا این است که زوم ظاهرا سیستم اختصاصی خود را برای رمزنگاری و ایمنسازی تماسها بهکار گرفته است. زوم در پکن سرورهایی دارد که به کلیدهای رمزگشایی تماسها دسترسی دارند. دستیابی به یک کپی از ترافیک شبکهی اینترنت که محتوی تماسهای رمزنگاریشدهی پراهمیت زوم باشند، برای مقامهای پرنفوذ احتمالا کار چندان سختی نیست. هجوم کاربران به پلتفرمهایی نظیر زوم در بحبوحهی همهگیری کووید ۱۹ این پلتفرمها را به هدفی نهفقط برای چین، بلکه برای بسیاری از سازمانهای اطلاعاتی تبدیل کرده است. خوشبختانه این شرکت تاکنون در واکنش به بررسیهای موشکافانهی کارشناسان امنیتی از نرمافزار خود عکسالعمل مناسبی نشان داده و متعهد شده است امنیت پلتفرم ارتباطی خود را بهبود بخشد.
پست ارسالشده در بلاگ شرکت زوم گام مثبتی در جهت شفافسازی عملکردهای این شرکت محسوب میشود. این شرکت چندی پیش اعلام کرد در ۹۰ روز آینده ویژگی جدیدی به نرمافزار ارتباطی خود اضافه نخواهد کرد و همهی منابع خود را روی شناسایی و رفع نقایص امنیتی متمرکز خواهد کرد؛ بااینحال، هنوز زیر فشارهای زیادی قرار دارد. زوم بهتازگی با تحقیقات دادستان نیویورک و دو پروندهی دادخواست حقوقی مواجه شده است و چندین نمایندهی کنگرهی ایالات متحدهی آمریکا نیز امروز در بیانیهای از این شرکت خواستند تدابیر خود درزمینهی محافظت بیشتر از حریم خصوصی کاربران را برای نمایندگان تشریح کند.