الوجبات الجاهزة الرئيسية
- أعلنت لجنة التجارة الفيدرالية الأمريكية في 9 نوفمبر أنها توصلت إلى تسوية مع Zoom بعد زعمها أنها ضللت المستخدمين فيما يتعلق بالأمان.
- التسوية تتطلب Zoom لوضع "برنامج أمان شامل" في مكانه.
- تقول Zoom أنها عالجت المشكلات بالفعل ، وأعلنت مؤخرًا أنها ستقدم تشفيرًا من طرف إلى طرف.
تعمل منصة المؤتمرات الشهيرة Zoom على تعزيز ممارساتها الأمنية كجزء من تسوية مع لجنة التجارة الفيدرالية الأمريكية (FTC) ، بعد مزاعم الوكالة بأنها ضللت المستخدمين بشأن مستوى أمانها.
أصبح Zoom اسمًا مألوفًا في غضون بضعة أشهر فقط ، مع تحول العالم إلى منصة مؤتمرات الفيديو الخاصة به بسبب الوباء الذي يحد بشدة من الاجتماعات الشخصية. ومع ذلك ، زعمت شكوى من FTC أن Zoom "انخرط في سلسلة من الممارسات الخادعة وغير العادلة التي قوضت أمن مستخدميها."
جاء ذلك في أعقاب التدقيق من قبل خبراء الأمن في وقت سابق من هذا العام ، الذين اكتشفوا أن النظام الأساسي لا يستخدم التشفير من طرف إلى طرف على الرغم من مزاعم التسويق. شهد Zoom أيضًا مشكلات أمنية أخرى أثناء ارتفاع شعبيته ، مثل تعطل المشاركين غير المرغوب فيهم في الاجتماعات في ممارسة تسمى "Zoombombing". كجزء من تسوية FTC ، التزمت Zoom بتنفيذ "برنامج أمان شامل".
"أثناء الوباء ، يستخدم الجميع تقريبًا - العائلات والمدارس والمجموعات الاجتماعية والشركات - مؤتمرات الفيديو للتواصل ، مما يجعل أمان هذه المنصات أكثر أهمية من أي وقت مضى" ، كما قال أندرو سميث ، مدير مكتب المستهلك في لجنة التجارة الفيدرالية تقول الحماية في بيان صحفي للوكالة.
"ممارسات أمان Zoom لم تتوافق مع وعودها ، وسيساعد هذا الإجراء في التأكد من حماية اجتماعات Zoom والبيانات حول مستخدمي Zoom."
التدقيق الحكومي
تزعم شكوى لجنة التجارة الفيدرالية (FTC) أن Zoom قد ضلل مستخدميه حول العديد من المشكلات المتعلقة بالأمان ، وأهمها يتعلق بالمطالبات المقدمة حول التشفير من طرف إلى طرف.
قال إن Zoom كان يدعي تقديم تشفير شامل 256 بت لمكالمات Zoom منذ عام 2016 ، لكنه قدم بالفعل مستوى أقل من الأمان. عندما يتم تمكين التشفير من طرف إلى طرف ، فإن المشاركين في مكالمة أو محادثة فقط لديهم حق الوصول إلى المعلومات المتبادلة - وليس Zoom أو الحكومة أو أي طرف آخر.
بالإضافة إلى ذلك ، تزعم الشكوى أن Zoom قام بتخزين اجتماعات مسجلة وغير مشفرة على خوادمها لمدة تصل إلى 60 يومًا عندما أبلغت بعض مستخدميها أنه سيتم تشفيرها على الفور.
هناك مشكلة أخرى تتعلق ببرنامج Mac يسمى ZoomOpener ، والذي ظل على أجهزة كمبيوتر المستخدمين حتى عند حذف Zoom وكان من الممكن أن يجعلهم عرضة للقراصنة. يوضح Alvaro Puig ، أخصائي تعليم المستهلك في FTC ، في منشور مدونة: "تجاوز هذا البرنامج إعداد أمان متصفح Safari وعرّض المستخدمين للخطر - على سبيل المثال ، كان من الممكن أن يسمح للغرباء بالتجسس على المستخدمين من خلال كاميرات الويب على أجهزة الكمبيوتر الخاصة بهم".
استجابة Zoom
بينما قامت Zoom بتسوية شكوى FTC مؤخرًا ، أخبرت الشركة Lifewire في رسالة بريد إلكتروني أنها "عالجت بالفعل" المشكلات.
قال متحدث باسم الشركة لـ Lifewire في رسالة بريد إلكتروني: "يعتبر أمان مستخدمينا أولوية قصوى لـ Zoom". اتخذت Zoom عدة خطوات للرد على مزاعم FTC ، بما في ذلك إطلاق خطة لمدة 90 يومًا في أبريل والتي أسفرت عن أكثر من 100 ميزة تتعلق بالخصوصية والأمان.
قدمت Zoom تشفيرًا شاملاً في أواخر أكتوبر ، أصبح ممكنًا من خلال استحواذها في مايو على شركة تسمى Keybase. لا يزال التشفير من طرف إلى طرف في ما تسميه Zoom وضع "المعاينة الفنية" ، وتقول الشركة إن خوادم Zoom لا يمكنها الوصول إلى مفاتيح التشفير. في الوقت الحالي ، يتم تقييد بعض الميزات في وضع التشفير من طرف إلى طرف ، بما في ذلك القدرة على الانضمام إلى الاجتماع قبل المضيف والغرف الفرعية.
كيفية استخدام التشفير من طرف إلى طرف Zoom's
جامعة ألاباما في جامعة برمنغهام ، أستاذ علوم الكمبيوتر نيتش ساكسينا ، يقول إن جهود Zoom لتنفيذ نظام تشفير حقيقي من طرف إلى طرف هي "خطوة في الاتجاه الصحيح" ، لكنه يشير إلى أنه لا يزال هناك عمل يتعين القيام به.
"هناك مشكلات مهمة يجب معالجتها قبل أن يوفر ذلك حقًا مستوى الأمان الذي قد يطلبه المستخدمون من مكالمات Zoom" ، كما يقول.
يقول ساكسينا ، الذي درس أمان Zoom على نطاق واسع ، إن أمان طريقة التشفير من طرف إلى طرف يعتمد في النهاية على العملية المستخدمة للتحقق من صحة مفاتيح التشفير للمشاركين في الاجتماع (وهي خطوة أساسية لإبقاء المتصنت خارج المكالمة)
في هذه الحالة ، يتحقق المستخدمون من ذلك بأنفسهم قبل بدء الاجتماع. في المرحلة الأولى لـ Zoom من بروتوكول التشفير من طرف إلى طرف ، يقرأ مضيف الاجتماع رمزًا مكونًا من 39 رقمًا يجب على الآخرين التحقق منه على شاشتهم.
ممارسات أمان Zoom لا تتوافق مع وعودها ، وسيساعد هذا الإجراء في التأكد من حماية اجتماعات Zoom والبيانات حول مستخدمي Zoom.
وفقًا لبحث أجراه ساكسينا وفريقه ، قد يكون هذا النهج عرضة للخطأ البشري إذا لم ينتبه شخص ما وقبل عن طريق الخطأ رمزًا لا يتطابق أو يتخطى العملية تمامًا.
أيضًا ، يجب على مضيفي الاجتماع والمشاركين التأكد من تمكينهم للتشفير من طرف إلى طرف قبل بدء الاجتماع ، حيث لا يتم تشغيله افتراضيًا. وجد بحث ساكسينا أيضًا أن أنواع الرموز الرقمية التي تستخدمها Zoom قد تكون أيضًا عرضة لنوع معين من الهجوم.
لذلك ، يمكن لمستخدمي Zoom أن يشعروا ببعض الارتياح لأن النظام الأساسي قد عالج بالفعل مشكلات الأمان الرئيسية التي أثارتها شكوى FTC ، ويقدم الآن المرحلة الأولى من التشفير التام بين الأطراف.ومع ذلك ، يجب أن يدرك المشاركون في المؤتمر أن استخدام وضع التشفير الجديد من طرف إلى طرف بشكل صحيح يتطلب مزيدًا من الاهتمام عندما يحين وقت عملية التحقق من صحة الرمز في بداية المكالمة.
