"از بزرگنمایی بیش از 60٪ شرکت های Fortune 500 و بیش از 96٪ از 200 دانشگاه برتر ایالات متحده استفاده می شود. این سازمان ها از ابزار کنفرانس به عنوان ابزاری برای اجرای آسان جلسات از راه دور ، تکمیل شده با پخش مستقیم صدا و فیلم ، و همچنین اشتراک گذاری صفحه و انتقال پرونده استفاده می کنند. "
آسیب پذیری ها در رابطه با برنامه Mac زوم
برنامه Mac زوم اخیراً بخشی از رسوایی امنیتی بوده است که یک محقق امنیتی چندین مسئله راجع به حریم خصوصی و امنیتی را با نرم افزار به طور فزاینده ای کنفرانس ویدیویی منتشر کرده است. چنین موضوعی به وب سایت ها اجازه داد وب کم کاربر Mac را بدون رضایت صریح و حتی دانش آنها روشن کنند.
Jonathan Leitschuh ، یک مهندس امنیتی در سیستم منبع باز Gradle "جزئیات را درباره نحوه افشای اطلاعات عمومی افشا کرد. مهاجم می تواند یک تماس مخرب برقرار کند ، کاربران را برای کلیک روی پیوند برای پیوستن به آن فریب دهد و فوراً فید ویدیوی خود را اضافه کند و به آنها اجازه دهد به اتاق ، مطب یا هر مکانی که یک وب کم آنها را نشان می دهد نگاه کنند. علاوه بر این ، لیتسچوه دریافت که مهاجمان همچنین می توانند با استفاده از همین مکانیسم برای رد کردن درخواست های پیوستن به آنها ، از حمله سرویس بر علیه مکینتاش استفاده کنند. "
این اجازه می داد تا شخص ثالث با مهاجمان برای ضبط وب کم تماس برقرار کنند.
"بدون اینکه کاربر رضایت صریح ببخشد و هیچ اقدامی صریح انجام ندهد ، آنها فوراً در یک جلسه زوم قرار می گیرند ،" Leitschuh در مورد یک تماس زوم مخرب مخرب می گوید. "به طور پیش فرض ، زوم ویدئو را نشان می دهد اما صدا را ارسال نمی کند ، هر چند هر دو تنظیم قابل تغییر هستند. بنابراین بسته به تنظیمات ویدئویی و صوتی آنها ، قربانیان به طور بالقوه می توانند بلافاصله خود را پخش کنند ، حتی اگر آنها به دنبال صفحه نمایش خود نباشند. "
Leitschuh متوجه شد که به جای درخواست AJAX ، سرور قادر به به منظور مدیریت خطاهای کد وضعیت تبلیغ ، از ابعاد تصویر از Zoom استفاده کنید. این روش امکان دور زدن محدودیت های تقسیم منابع منبع متقابل را فراهم می آورد. با این حال ، این تنها عیب امنیتی زوم نبوده است.
"این آسیب پذیری زوم به خصوص نگران کننده و کاملاً خزنده است زیرا نیازی نیست که کاربر در تماس زوم قرار داشته باشد" ، می گوید: دیوید ولز (Tenable) Tenable. نقص بزرگنمایی که در سال گذشته پیدا کردم به یک مهاجم امکان می دهد تا حتی بدون حضور در جلسه ، از ماشین های راه دور استفاده کند. ترکیب هر دو آسیب پذیری در یک حمله هدفمند بسیار خطرناک خواهد بود. "
این اولین آسیب پذیری نیست که درگیر دوربین های آنلاین ، است ، اما به خصوص به ویژه چه معنی دارد؟ با بسیاری از شرکت ها از راه دور ، و زوم توانایی میزبانی ده ها هزار نفر از شرکت کنندگان در یک تماس ، این مسئله برای یک مجرمان سایبری مسئله ای نیست که بدون تماس با سایر کاربران متوجه یک تماس زوم شود و بدون اطلاع قبلی باشد.
"این یک مجموعه اشکالات بسیار نگران کننده است ، با توجه به سایر موضوعات بزرگنمایی که در گذشته مشاهده و گزارش کرده ام ، شگفت آور نیست. سرور وب محلی صادقانه نگران کننده ترین قسمت است ، و ثابت نیست. " می گوید: توماس رید ، متخصص تحقیقات مک در شرکت امنیتی Malwarebytes. "سرور وب نگران کننده است زیرا ممکن است شخصی بتواند راهی برای استفاده از راه دور از آن استفاده کند تا بتواند اجرای کد از راه دور را انجام دهد."
جلوگیری از حمله به وب سایت های ربودن مهاجمان
اکنون ، این شماره خاص در ماه اوت حل شد ، با بزرگنمایی با بیان ، "حریم خصوصی و امنیت کاربران زوم اولویت اصلی ما است – ما همچنان به افزودن ویژگی ها و ویژگی های اضافی برای تقویت بیشتر بستر خود ادامه داده ایم. ما از تیم Check Point بخاطر اشتراک گذاری تحقیق و همکاری با ما تشکر می کنیم. "
اگر کاربر جدید هستید ، مواردی وجود دارد که هنگام صحبت از زوم باید از آنها آگاه باشید. به عنوان مثال ، اگر به سیاست حفظ حریم خصوصی Zoom توجه کنید ، متوجه می شوید که Zoom به رئیس شما اجازه می دهد تا در طول تماس ، توجه شما را پیگیری کند. همچنین این امکان را دارد که مقدار زیادی از داده های جمع آوری شده را با اشخاص ثالث به اشتراک بگذارد ، و هنوز هم ضعف امنیتی زیادی دارد.
اولا ، زوم می داند که آیا به تماس توجه می کنید یا نه. دلیل این امر آن است که هر زمان که میزبان یک زومیت هستید ، می توانید ویژگی ردیابی توجه شرکت کنندگان را بزرگ کنید. این کار با اطلاع میزبان تماس انجام می شود هر زمان که شرکت کننده تماس بیش از سی ثانیه از Zoom Desktop Client یا Zoom Desktop Client نداشته باشد.
اساساً ، اگر در حین تماس از زوم کلیک کنید. میزبان بعد از نیم دقیقه می داند. این شامل اقدامات مانند باز کردن برنامه یادداشت های شما ، بررسی هرگونه ایمیل یا تلاش برای پاسخ دادن به پیام در برنامه دیگر است. این کار فقط در صورتی انجام می شود که شخصی در تماس باشد صفحه نمایش خود را به اشتراک می گذارد.
بدیهی است فقط به این دلیل که به طور مستقیم به صفحه بزرگنمایی نگاه نمی کنید ، به این معنی نیست که توجه نمی کنید و کاری انجام نمی دهید. همچنین لازم به ذکر است که در صورت تصمیم گیری میزبان شما تماس را ضبط کند ، می تواند بعداً دوباره پخش شود.
بزرگنمایی فایل TXT ارتباطات شما را از جلسه شما ذخیره می کند و آن را با رئیس خود به اشتراک می گذارد. در صفحه پشتیبانی بزرگنمایی ، خواهید دید که گپ ذخیره شده فقط پیامهایی را از میزبان برای همه شرکت کنندگان درج خواهد کرد ، اما واقعاً آنچه را که با پیامهای مستقیم بین سایر شرکت کنندگان در تماس وجود دارد ، بیان نمی کند.
وقتی صحبت از حریم شخصی می شود ، باید بدانید که زوم نه تنها توجه شما را دنبال می کند بلکه شما را نیز ردیابی می کند. در زومیت خط مشی رازداری ، زوم اظهار می دارد که مجموعه ای از داده ها راجع به شما مانند نام ، آدرس ایمیل ، شماره تلفن ، آدرس فیزیکی ، کارفرما و عنوان شغل جمع آوری می کند. در واقع ، حتی اگر شما یک حساب بزرگنمایی را انجام ندهید ، اطلاعات مختلفی را در مورد آدرس IP و دستگاهی که استفاده می کنید ضبط و نگه می دارد.
اگر از فیس بوک برای ورود به زوم استفاده می کنید ، اطلاعات را نیز ضبط می کند. از نمایه فیس بوک خود مانند اطلاعاتی که آپلود یا ایجاد می کنید. سیاست حفظ حریم خصوصی می گوید که زومیت داده های شخصی شما را برای پول به شخص ثالث نمی فروشد ، اما داده های شخصی را برای اهداف تجاری با اشخاص ثالث به اشتراک می گذارد. این شامل انتقال اطلاعات شخصی شما به Google است.
"ما به اشخاص ثالث اجازه نمی دهیم که از داده های شخصی بدست آمده از ما برای اهداف خود استفاده کنند ، مگر اینکه با رضایت شما باشد (مثلاً وقتی برنامه را از بازار دانلود می کنید). بنابراین به نظر فروتنانه ما ، ما فکر نمی کنیم که اکثر کاربران ما ما را به عنوان فروش اطلاعات خود ببینند ، زیرا این عمل معمولاً درک می شود.
گفته می شود ، زوم از برخی ابزارهای تبلیغاتی استاندارد استفاده می کند که به داده های شخصی نیاز دارند (مثلاً به Google Ads و Google Analytics فکر کنید). ما از این ابزارها برای کمک به بهبود تجربه تبلیغات شما استفاده می کنیم (مانند ارائه تبلیغات به نمایندگی از طریق اینترنت ، ارائه تبلیغات شخصی در وب سایت ما و ارائه خدمات تحلیلی).
اشتراک داده های شخصی با ارائه دهنده شخص ثالث در حالی که از این ابزارها استفاده می کند ممکن است در تعریف بسیار گسترده ای از "فروش" داده های شخصی تحت قوانین خاص ایالتی قرار داشته باشد زیرا این شرکت ها ممکن است از داده های شخصی برای اهداف تجاری خود استفاده کنند ، همچنین به عنوان اهداف زوم. به عنوان مثال ، Google ممکن است از این داده ها برای بهبود خدمات تبلیغاتی خود برای کلیه شرکت هایی که از خدمات آنها استفاده می کنند ، استفاده کند. (توجه داشته باشید که برنامه های تبلیغاتی به این روش از لحاظ تاریخی عمل کرده اند.
فقط با تحولات اخیر در قوانین مربوط به حریم خصوصی داده ها ، چنین فعالیت هایی در تعریف "فروش" قرار دارند). اگر از "فروش" اطلاعات خودداری کنید ، داده های شخصی شما که ممکن است برای این فعالیتها استفاده شده باشد ، دیگر با اشخاص ثالث به اشتراک گذاشته نمی شوند. "
اشتراک صفحه نمایش بزرگنمایی ممکن است محبوبیت رو به رشدی داشته باشد ، اما کاربران جدید باید توجه داشته باشید که زوم موضوع شکایت حریم خصوصی است که سال گذشته توسط مرکز اطلاعات الکترونیکی حفظ حریم شخصی (EPIC) ارائه شده است ، و مدعی شد که "Zoom عمداً سرویس کنفرانس وب خود را برای دور زدن تنظیمات امنیتی مرورگر طراحی کرده است. از راه دور دوربین وب کاربر را بدون اطلاع و رضایت کاربر فعال کنید. "
برای کسانی که از شما خواسته می شود از زوم برای اهداف تجاری یا اهداف دیگری استفاده کنید ، نکاتی وجود دارد که می توانید برای حفظ امنیت خود دنبال کنید.
- هرگز با فیس بوک وارد نشوید – اگرچه ممکن است باعث صرفه جویی در وقت شما شود ، اما این یک عمل امنیتی ضعیف نیز هست و به میزان چشم گیری باعث افزایش میزان دسترسی به اطلاعات زوم می شود. در یک تماس بزرگنمایی در رایانه خود قرار دارید که باید از تلفن خود برای بررسی ایمیل های خود یا برقراری ارتباط با سایر شرکت کنندگان استفاده کنید. به این ترتیب ، هشدار ردیابی توجه آغاز نمی شود.
- برنامه زوم خود را به روز کنید – این اطمینان حاصل خواهد کرد که شما به آخرین به روزرسانی های امنیتی دسترسی دارید.
نتیجه گیری
با انتشار ناگهانی کوراو ویروس ، وجود داشته است. افزایش سازمان ها ، مشاغل و دانشگاه هایی که برای حفظ عملکرد به ابزار کنفرانس آنلاین روی آورده اند. بزرگنمایی سیستم عامل هایی که اخیراً بیشترین محبوبیت را کسب کرده اند ، اما همچنین با طیف وسیعی از موارد مربوط به حریم خصوصی همراه است که شامل نظارت بر فعالیت رایانه شما و همچنین جمع آوری داده های شخصی است.
درست در سال گذشته ، متخصصان و کارشناسان امنیت سایبری سعی در تماس با بزرگنمایی به منظور لکه دار کردن برخی از آسیب پذیری های جدی در مورد برنامه Mac بزرگنمایی. متأسفانه ، این شرکت فاقد پاسخ به موقع و کافی بود. این مسئله باعث شک و تردید در مورد اینکه آیا زوم در زمینه حفظ حریم شخصی کاربران اقدامات رضایت بخش را انجام می دهد ، می باشد.
