هشدارهای امنیتی درباره نرم‌افزار ارتباطی زوم

آیا شما هم از برنامه‌ی «زوم» (ZOOM) استفاده می‌کنید؟ لطفاً به مواردی که باید در مورد حریم خصوصی خود بدانید، توجه کنید:

نرم‌افزار «زوم» با شیوع ویروس کووید-۱۹ و دورکاری پرسنل شرکت‌ها با موجی از کاربران جدید مواجه شده است. نقطه‌ی قوت این نرم‌افزار که باعث افزایش چشمگیر فروش آن شده است، امکان برقرای یک تماس ویدئویی سریع و بی‌نقص است.

بااین‌حال، کاربران جدید باید با شیوه‌های حفظ حریم خصوصی در پروتکل این شرکت آشنا باشند. با نگاهی به سیاست‌های حریم خصوصی و برخی از اسناد پشتیبانی آن، به‌سرعت متوجه می‌شوید که «زوم» در زمان تماس شما با رئیس‌تان، این امکان را به وی می‌دهد تا بتواند میزان توجه شما به بحث را در طول زمان مکالمه ردیابی کند. درعین‌حال، این برنامه مقدار بسیار زیادی از داده‌هایی که از شخص ثالث، مانند شما، جمع‌آوری کرده را به‌اشتراک می‌گذارد و به‌همین دلیل امنیت شما در این برنامه بسیار آسیب‌پذیر است.

به اعتقاد ما آن دسته از افرادی که در دوران شیوع ویروس کرونا به این نرم‌افزار روی آورده‌اند، باید از این مسائل آگاهی یابند. این مقاله همه‌‌ی موارد مربوط به این نرم افزار را با جزئیات کامل بررسی کرده و در پایان، پیشنهاداتی را برای مصون‌ماندن در آن به شما ارائه می‌دهد.

«زوم» می‌تواند تشخیص ‌دهد که آیا شما کاملاً به صحبت‌های طرف مقابل (مثلاً رئیس‌تان) توجه می‌کنید یا خیر

وقتی شما در محیط «زوم»با شخص یا اشخاصی تماس برقرار می‌کنید، این امکان را دارید که میزان توجه حاضران در آن تماس را ردیابی کنید. به این صورت که اگر شخصی که با شما درحال مکالمه است، بیش از سی‌ثانیه ازصفحه‌ی «زوم» نسخه دسکتاپ یا اپلیکیشن موبایل خود بیرون بیاید، «زوم»پیغام هشداری را برای شما به‌عنوان تماس‌گیرنده ارسال می‌کند. به‌عبارت‌ دیگر، اگر درحین تماس در محیط «زوم»، از صفحه‌‌ی آن خارج شوید، تماس‌گیرنده پس از سی ثانیه از خروج شما مطلع می‌شود و این یعنی حواس شما جای دیگری است! فرقی هم نمی‌کند که تنها صفحه را کوچک کرده باشید تا یادداشت‌برداری کنید، مشغول چک‌کردن ایمیلتان باشید یا در یک اپلیکیشن دیگر سوالی را جواب ‌دهید.

البته این ویژگی برنامه‌ی «زوم» تنها درصورتی کار می‌کند که طرفی که در تماس حضور دارد، صفحه‌نمایش خود را با بقیه‌ی حاضران در تماس به‌اشتراک بگذارد؛ اما مشخص نیست که آیا افراد حاضر در تماس، خود، از این ردیابی مطلع می‌شوند یا خیر. زمانی که ما آن را تست می‌کردیم، شرکت‌کنندگان هیچ نشانه و علامتی مبنی‌براینکه توجه‌شان به تماس درحال ردیابی است، دریافت نکردند.

البته، اینکه شما به صفحه‌نمایش «زوم» نگاه نکنید، به‌خودی خود، دلیل بر این نیست که به مخاطب‌تان در تماس‌ توجه ندارید یا کارتان را انجام نمی‌دهید. البته، تمامی نسخه‌های این برنامه هم قادر به ردیابی میزان توجه نیستند و این ویژگی تنها در نسخه 4.0 و نسخه‌های بعدی برنامه‌ی «زوم» کار می‌کند و نحوه‌ی واردشدن به آن چه از طریق مرورگر و چه از طریق اپلیکیشن هم تفاوتی در این قضیه ایجاد نمی‌کند.

در ضمن، باید بدانید که اگر تماس‌گیرنده تصمیم به ضبط تماس بگیرد تا بعداً دوباره آن را ببیند، برنامه‌ی «زوم» فایل‌های متنی پیام‌های ردوبدل‌شده در آن تماس را ذخیره کرده و دراختیار رئیس شما قرار می‌دهد. بر طبق آنچه درصفحه پشتیبانی این برنامه نوشته شده است، «پیام‌های متنی ذخیره‌شده تنها شامل پیام‌هایی است که از سوی تماس‌گیرنده و پنلیست‌ها به تمامی شرکت‌کنندگان در تماس ارسال شده است.» با این‌ حال، تکلیف پیام‌های دایرکت بین شرکت‌کنندگان هنوز مشخص نیست.

حریم خصوصی درمورد داده‌های کاربران «زوم»

«زوم» نه تنها میزان توجه شما، بلکه اطلاعات شما را نیز ردیابی می‌کند.

براساس سیاست‌های حریم خصوصی «زوم»، این شرکت مجموعه‌ای از داده‌های شما ازجمله نام، آدرس محل زندگی، آدرس ایمیل، شماره تماس، عنوان شغلی و نام کارفرمای شما را جمع‌آوری و ذخیره می‌کند. حتی اگر شما اکانتی در «زوم» نسازید، این برنامه داده‌های مربوط به نوع دستگاهی که استفاده می‌کنید و   نشانی آی‌پی شما را جمع‌آوری و ذخیره می‌کند. این برنامه حتی اطلاعات پروفایل فیس‌بوک شما (درصورتی‌که از فیس‌بوک برای ورود به این برنامه استفاده می‌کنید) و هر نوع اطلاعاتی که درحین استفاده از «زوم»، آپلود، تهیه یا ایجاد می‌کنید را جمع‌آوری می‌کند.

برخی از این داده‌ها را خود شما در زمان لاگین وارد می‌کنید، مانند آدرس ایمیل؛ اما اغلب داده‌ها به‌طور اتوماتیک به وسیله‌ی اپلیکیشن «زوم» جمع‌آوری می‌شوند.

در قسمت سیاست حریم خصوصی این برنامه، در جواب به این سوال که: «آیا زوم اطلاعات شخصی کاربرانش را می‌فروشد؟»، این جواب نوشته شده است: «بستگی دارد به اینکه منظور شما از فروختن چه باشد.» سیاست حریم خصوصی «زوم» می‌گوید که داده‌های شخصی را در ازای دریافت پول به هیچ طرف سومی نمی‌فروشد؛ اما آشکارا بیان می‌کند که این شرکت داده‌های شخصی کاربرانش را در اختیار برخی طرف‌های سوم که «اهداف تجاری» دارند، قرار می‌دهد؛ برای مثال ممکن است این اطلاعات در اختیار گوگل قرار بگیرد.

بااین‌حال، در مقاله‌ی دیگری عکس این موضوع نشان داده شده و گفته می‌شود که اپلیکیشن آی‌او‌اس این برنامه، مقادیر قابل توجهی از داده‌های کاربران را در اختیار فیس‌بوک می‌گذارد، حتی داده‌های کاربری که اکانت فیس‌بوک نداشته باشد. با این ‌حال، دو روز پس از چاپ این مقاله، «زوم» کدی که داده‌ها از طریق آن به فیس‌بوک ارسال می‌شد را حذف کرد و در اطلاعیه‌ای توضیح داد که اطلاع نداشته است که کیت توسعه‌ی نرم‌افزار[1] (SDK) متعلق به فیس‌بوک که برای «ورود با حساب فیسبوک» استفاده می‌شد، داده‌های غیرضروری را نیز جمع‌آوری می‌کرده است. این اطلاعیه، همچنین، لیست انواع داده‌هایی که کیت توسعه‌ی نرم‌افزار فیسبوک جمع‌آوری کرده است، شامل نوع و نسخه سیستم‌عامل موبایل، منطقه‌ی زمانی آن دستگاه، سیستم‌عامل دستگاه، مدل و حامل[2] آن، اندازه‌ی صفحه‌نمایش، هسته‌های پردازش‌گر و فضای دیسک را نیز منتشر کرده است.

باگ هک‌کردن دوربین

سال گذشته، جاناتان لیتشوش، مشاور امنیت، متوجه شد که «زوم» یک سرور شبکه‌ی محلی بر روی دستگاه Mac یک کاربر نصب کرده است که به «زوم» اجازه می‌دهد از ویژگی‌های امنیتی  در سافاری ۱۲ گذر کند. این سرور شبکه در هیچ‌یک از مستندات «زوم» قید نشده بود. این سرور برای گذرکردن از یک پنجره‌ی پاپ‌آپ استفاده می‌کرد که سافاری ۱۲ قبل از روشن‌شدن دوربین دستگاه‌تان به شما نشان می‌دهد.

بااین‌حال، ریموت سرور شبکه نیز به اندازه‌ی کافی ایمن نبود. هر وبسایتی به‌راحتی می‌توانست با آن وارد تعامل شود و نتیجه این شد که «زوم» به وبسایت‌های مخرب اجازه داد که حتی بدون هشدار به شما، کنترل دوربین مک شما را به‌دست گیرند.

این مسأله باعث شد که مرکز اطلاعات حریم خصوصی الکترونیکی شکایتی را برعلیه «زوم» به‌جریان انداخته و ادعا کند که «زوم» به‌عمد سرویس وب‌کنفرانس خود را طوری طراحی کرده که بتواند از تنظیمات امنیت مرورگر گذر کرده و از راه دور، وبکم کاربر را بدون اطلاع یا رضایت وی فعال کند.»

بااینکه «زوم» از آن زمان به بعد، ریموت وب سرورهایت خود را غیرفعال کرده، رویکرد شوالیه‌ای آن در مورد اجازه‌گرفتن از کاربر و بی‌اعتنایی به نگرانی‌های امنیتی و حریم شخصی، تردیدهای جدی را در مورد اعتماد به آن مطرح کرده است.

چگونه از داده‌های خود محافظت کنیم

از آنجا که «زوم» به یک ابزار ویدئوکنفرانس استاندارد تبدیل شده، شما باید اقداماتی را برای ایمن‌نگه‌داشتن داده‌های خود انجام دهید.

• درحین استفاده از تماس «زوم» از دو دستگاه استفاه کنید: اگر در یک تماس «زوم» بر روی کامپیوتر خود شرکت می‌کنید، برای کارهای دیگری مانند چک‌کردن ایمیل یا چت با دیگر شرکت‌کنندگان از گوشی خود استفاده کنید. با این‌کار شما ویژگی هشدار ردیابی توجه را فعال نمی‌کنید.
• از فیس‌بوک برای ورود استفاده نکنید: شاید این کارباعث می‌‍‌‌شود که در وقت خود صرفه‌جویی کنید، اما امنیت داده‌های خود را به خطر می‌اندازید و به‌طرز چشمگیری میزان داده‌هایی را که در دسترس «زوم» قرار می‌گیرند، افزایش می‌دهید.
• اپلیکیشن «زوم» خود را به‌روزرسانی کنید: «زوم» سرور شبکه‌ی راه ‌دور خود را در آخرین نسخه‌های خود غیرفعال کرده است؛ پس چنانچه «زوم» را دانلود کرده‌اید، نیازی نیست که نگران چنین آسیبی باشید.

ما متوجه هستیم که کار از منزل نیازمند پیکربندی مجدد چگونگی کار شرکت‌ها، دفاتر و کارمندان است؛ اما، حریم شخصی پرسنل نباید فدای این تغییروتحول شود.

اکنون که دفاتر تعطیل‌اند، اهمیت این موضوع بیشتر از قبل است و کارمندان باید این راهنمایی‌ها را به‌خاطر داشته باشند. ما منابعی را برای امنیت بیشتر دراختیارتان قرار می‌دهیم. IT security ebook با email security و IT security خود بهترین اقداماتی را که کارمندان بتوانند امنیت و حریم خصوصی خود در حین کارکردن ازمنزل حفظ کنند، معرفی می‌نماید.

می‌توانید ازfree secure email account from Proton Mail  استفاده کنید.

همچنین می‌توانید یک free VPN service برای حفظ حریم خصوصی خود بگیرید.

*این مقاله در تاریخ ۲۷ مارس ۲۰۲۰ به‌روزرسانی شد تا این خبر که اپلیکیشنiOS  برنامه‌ی «زوم» داده‌های کاربران را دراختیار فیس‌بوک قرار می‌دهد، در مقاله گنجانده شود.

** این مقاله در تاریخ ۳۰ مارس ۲۰۲۰ پس از غیرفعال‌شدن کدی که «زوم» با استفاده از آن داده‌های دستگاه کاربران را دراختیار فیس‌بوک قرار می‌داد، به‌روزرسانی شد.

[1] Software development kit

[2] carrier