لزم تفكر قبل ماتستخدم Zoom
الناس طبعا الأسابيع اللي فاتت في كل حتة في العالم قعدوا في البيت اما بشكل جزئي زي عندنا كدا اللي هو بيروحوا شغل الصبح وينزلوا بليل، أو كلي اللي هو كلو قاعد في البيت وبيشتغلوا من البيت كمان..فالكل جري على تطبيقات وأبلكيشنز مكالمات الفيديو عشان يتواصلوا مع البشر في الشغل أو الصحاب، وكان الأشهر هو تطبيق ZOOM !!
وزي كل حاجة بيجي عليها وقت والكل يجري عليها، الناس كلها بقى ركزت معاها وده اللي عمله الباحثين الأمنيين مع زووم، وده كان من سوء حظه يا معلمين! تعالوا كدا نشوف بقى ليستة الثغات والمشاكل اللي اكتشفوها في ZOOM والشركة اتعاملت مع كل واحدة منهم ازاي:
زووم بيبت بيانات المستخدمين لشركات كتيرة
بدون علم المستخدمين وعلى راسهم شركة فيسبوك، وده حتى لو مكنش ليك أكونت أصلا على فيسبوك أو حتى الجهاز اللي انت فاتح عليه زووم معليهوش فيسبوك أساسا!!
بدون علم المستخدمين وعلى راسهم شركة فيسبوك، وده حتى لو مكنش ليك أكونت أصلا على فيسبوك أو حتى الجهاز اللي انت فاتح عليه زووم معليهوش فيسبوك أساسا!!
" الشركة قالت انها كانت بتستخدم واجهة Login with Facebook البرمجية عشان تسهل على المستخدمين انهم يعملوا اكونتات على زووم، بس مكنتش تعرف ان فيه كود جوا الواجهة البرمجية دي بيبعت داتا المستخدمين لفيسبوك حتى لو مش فاتحين أصلا بأكونت فيسبوك أو حتى كمان مش عاملين لوجين اساسا على فيسبوك من نفس الجهاز اللي شغالين بزووم عليه.. ووقفت الكود ده نهائيا"
فيه ميزة بيقدمهالك Zoom
وهي انك تقدر تخزن أي شات عام كنت جواه مثلا لصحابك أو فريقك في الشغل على الكمبيوتر بتاعك بحيث تقدر ترجع للكل مرة تانية بعدين عشان تاخد منه حاجة أو معلومة مثلا، بس اللي مش معروف بقى واللي الناس اكتشفته بالتجربة، انك لو انت في الشات العام دوس على أي كونتاكت جوا الشات ده وبعتله حاجة على الخاص، كل الموجودين في الشات العام لو عملوا داونلود للشات ده بيظهرلهم انت بعت ايه على الخاص للكونتاكت اللي انت دوس عليه من جوا الشات العام.. صباح الزحلقة!
وهي انك تقدر تخزن أي شات عام كنت جواه مثلا لصحابك أو فريقك في الشغل على الكمبيوتر بتاعك بحيث تقدر ترجع للكل مرة تانية بعدين عشان تاخد منه حاجة أو معلومة مثلا، بس اللي مش معروف بقى واللي الناس اكتشفته بالتجربة، انك لو انت في الشات العام دوس على أي كونتاكت جوا الشات ده وبعتله حاجة على الخاص، كل الموجودين في الشات العام لو عملوا داونلود للشات ده بيظهرلهم انت بعت ايه على الخاص للكونتاكت اللي انت دوس عليه من جوا الشات العام.. صباح الزحلقة!
المشكلة دي بتحصل لما تكون مشغل ميزة التخزين التلقائي Automatic Saving في اعدادات زووم أو كمان لو انت عملت Save للشات بعد ما تخلص!
زووم طول الوقت بتقول في كل حملاتها التسويقية ان الفيديوهات متشفره
في كل مكان بتقول ان كل اجتماعات المستخدمين الفيديو بتبقى متشفرة تشفير طرفي End-to-End Encryption، بس ماشاء الله يعني تقرير The Intercept نزل من 3 أيام بيقول يا خوانا والله لا تشفير ولا أي حاجة موجودة في زووم وكلو بيع كلام مش أكتر!
ببساطة زووم شايفة ان التشفير الطرفي ده معناه ان أي حد غير طرفي الاتصال و"الشركة" ميقدرش يشوف أي ملفات أو يبص على محتوى الشات أو المكالمات الفيديو، إنما الشركة نفسها عادي تشوف الكلام ده اشطة يعني مش عيب!
انما المنطقي ان التشفير الطرفي الطبيعي هو ان الشركة نفسها مقدمة الخدمة متقدرش تشوف الشات حتى لو هي عايزة ده، زي بظبط ما الواتساب بيعمل كدا !
زووم ماشاء الله فوق كل اللي فوق ده كلو، بيسرب ايميلات وصور المستخدمين وكمان ايه فوق كل ده الطريقة اللي زووم بيخزن بيها الأكونتات بتاعت الموظفين اللي شغالين في نفس الشركة بتخلي أي موظف يكلم أي حد جوا الشركة وده منطقي، بس اللي مش منطقي ان حد يبقى عامل اكونت بايميل شخصي بعيدا عن دومين الشركة أصلا، وهوووب تلاقي زوم حاطه جوا مجموعة أكونتات المستخدمين لشركة معينة وهو ملهوش علاقة بيهم أصلا ويشوف بقى كل صورهم وبياناتهم ويعيش، فتبقى قاعد في أمان الله هووب تلاقي نفسك بتكلم حد غريب بيتصل عليك!
" زووم حلت المشكلة دي بالفعل وعملت بلاك ليست لكل الاكونتات اللي كان فيها مشكلة ومحطوطة في مجموعات Company Directory بالغلط على سيرفرات الخدمة"
1- باحثين قدروا يلاقوا ثغرة في برنامج زووم على ويندوز بيقدروا بيها يسقوا الباسوردات بتاعت أكونتات اليوزرس على الويندوز، لأ وكمان لقوا ثغرتين ممكن يستخدموهم عشان يحطوا ايديهم على أكونت أي شخص على جهاز أبل ماك لأ وكمان يتحكموا في الكاميرا والميكروفون بتاعت الجهاز بدون علم الضحية!
طبعا الثغرات دي بتخلي الهاكر يقدروا بهدوء وبأريحية تامة يسيطر بالكامل ع الكمبيوتر كإنه بظبط قاعد قدامه!
2- أداة جديدة ظهرت وبتقدر خلال ساعة انها تلاقي حوالي 100 لينك خاص بمكالمات فيديو على زووم المفروض انها محمية ومخفية وخاصة، وبالتالي أي حد معاه اللينك بتاعت أي مكالمة فيديو يقدر يدخل ويعمل اللي هو عايزه فيها ودي حاجة للأسف عدد كبير من المراهقين خصيصا عملوها من اول السنة عن طريق مواقع وجروبات كتيرة ع الواتساب وعلى Discord بيشيروا فيها لينكات المكالمات المفتوحة بدون باسورد على زووم وبيعملوا عليها حاجة اسمها Zoom bombing بيدخلوا فيها يشغلوا بقى محتوى اباحي او يدخلوا يشتموا او حاجة من حركات العيال دي !!!!
2- أداة جديدة ظهرت وبتقدر خلال ساعة انها تلاقي حوالي 100 لينك خاص بمكالمات فيديو على زووم المفروض انها محمية ومخفية وخاصة، وبالتالي أي حد معاه اللينك بتاعت أي مكالمة فيديو يقدر يدخل ويعمل اللي هو عايزه فيها ودي حاجة للأسف عدد كبير من المراهقين خصيصا عملوها من اول السنة عن طريق مواقع وجروبات كتيرة ع الواتساب وعلى Discord بيشيروا فيها لينكات المكالمات المفتوحة بدون باسورد على زووم وبيعملوا عليها حاجة اسمها Zoom bombing بيدخلوا فيها يشغلوا بقى محتوى اباحي او يدخلوا يشتموا او حاجة من حركات العيال دي !!!!
يعني بتتكلم في 2400 مكالمة فيديو جماعية هتتهاك في يوم واحد!!!!
الحمدلله اللي قدر يطور الأداة دي دول مجموعة من الباحثين الأمنيين SecKC والباحث المحترف Trent Lo وسموها zWarDial!
بس الباحثين قالوا ان الأداة دي مبتقدرش تلاقي أي مكالمة فيديو جماعية محمية بباسور سري، عشان كدا ياريت تحرص على انك تعمل مكالماتك الفيديو المهمة بباسورد أحسن!
والحمدلله الشركة نزلت أبديت من يومين بيخلي أدمن المكالمة لازم يقبل اي شخص داخل جديد المكالمة بلينك Meeting ID لازم يتقبل يدوي من الادمن، وكمان لازم اللي يدخل يبقى فيه باسورد بيدخله عشان يدخل المكالمة اصلا لأ وكمان الـFBI قالت ان الزووم بومبينج دي جريمة فيدرالية يحاسب عليها القانون الفيدرالي بغرامة وممكن توصل كمان السجن!
3- باحثين في شركة Citizen Lab البحثية للامن المعلوماتي أعلنوا ان زووم بتمرر بعض المكالمات بتاعت مستخدمين أمريكا عن طريق سيرفراتها في الصين وكمان معاها مفاتيح تشفيرها بتتمرر من نفس السيرفرات وده يحط طبعا المكالمات دي في خطر تدخل السلطات الصينية اللي ممكن جدا تطلب فك تشفير المكالمات دي طالما بتتمرر من سيرفرات على أرضها!!!
3- باحثين في شركة Citizen Lab البحثية للامن المعلوماتي أعلنوا ان زووم بتمرر بعض المكالمات بتاعت مستخدمين أمريكا عن طريق سيرفراتها في الصين وكمان معاها مفاتيح تشفيرها بتتمرر من نفس السيرفرات وده يحط طبعا المكالمات دي في خطر تدخل السلطات الصينية اللي ممكن جدا تطلب فك تشفير المكالمات دي طالما بتتمرر من سيرفرات على أرضها!!!
المهم زووم مسكتتش وخرجت تعتذر وفسرت الموضوع بإن هي بتحاول دايما ان مكالمات كل قارة تبقى بتتمرر من الالسيرفرات اللي جوا القارة قدر الامكان، بس بسبب الضغط العالي جدا في عدد المستخدمين المفاجي اتسبب في خطط بديلة عشان تسعف المستخدمين وتنجز اجتماعاتهم، بس اعلنت انها مش هنقوم بده مرة تانية ابدا!
4- الباحث الامني Felix Seele أعلن ان ملف تسطيب زووم لما بيتعمله داونود على الماك، اول ما بينزل بيبدأ يسطب نفسه اوتوماتيك بدون ما يعمل المستخدم أي حاجة، والسبب في كدا هو انه معتمد على كود برمجي موجود في فيروسات وبرمجيات خبيثة كتيرة عشان تسطب نفسها على جخاز الضحية بدون ما ياخد باله اصلا!!!
4- الباحث الامني Felix Seele أعلن ان ملف تسطيب زووم لما بيتعمله داونود على الماك، اول ما بينزل بيبدأ يسطب نفسه اوتوماتيك بدون ما يعمل المستخدم أي حاجة، والسبب في كدا هو انه معتمد على كود برمجي موجود في فيروسات وبرمجيات خبيثة كتيرة عشان تسطب نفسها على جخاز الضحية بدون ما ياخد باله اصلا!!!
مدير زووم التنفيذي رد على تويتة فليكس على تويتر واعتذر، وخلال يومين الابديت نزل فعلا واتحلت القصة دي وبقى عشان تسطب زووم لازم تدخل بنفسك وتشغل فايل الـInstaller زي أي برنامج محترم!
- أحب أقولك ان شركة سبيس اكس بتاعت ايلون ماسك منعت الموظفين من استخدام زووم تماما بعد كل الفضايح دي، وكمان فيه ولايتين في أمريكا بيحققوا في المواضيع دي كلها عشان فيه وزارات ومؤسسات حكومية كاملة شغالة على زووم!
- بص بصراحة الراجل مدير زووم التنفيذي Eric Yuan قالها بصراحة وقالك ان النمو اللي حصل لمستخدمي الخدمة من 10 مليون مستخدم إلى 200 مليون مستخدم في أسابيع كان صدمة كبيرة جدا للفريق بالتزامن مع كورونا، وده حط الفريق تحت ضغط كبير جدا انه بيحاول يحل كل المشاكل اللي كان ماشي في حلها براحته وعلى مهله واحدة واحدة، عشان كدا قال من يومين ان لمدة 90 يوم "3 شهور" مفيش أي مزايا جديدة هتنزل، وكل اللي هيبقى شاغلهم هو تظبيط الثغرات الأمنية ورفع مستوى الحماية للمستخدمين جوا الخدمة!