"زووم" يعالج ثغرات أمنية في التطبيق وينصح بآخر تحديث

قام تطبيق زووم بتصحيح ثغرة أمنية في برنامج مؤتمرات الفيديو الخاص بها والتي يمكن استغلالها مع رسائل الدردشة لتنفيذ تعليمات برمجية ضارة على جهاز الضحية. حصل الخطأ على درجة خطورة CVSS تبلغ 5.9 من 10، وهي ثغرة أمنية متوسطة الخطورة.

يؤثر الخطأ في Zoom Client للاجتماعات التي تعمل على iOS وAndroid وmacOS وLinux وWindows قبل الإصدار 5.10.0. ونصحت إدارة التطبيق المستخدمين بتنزيل أحدث إصدار من برامجه للحماية من الثغرة التعسفية في تنفيذ التعليمات البرمجية عن بُعد.

نتيجة الخطأ هو أن شخصًا ما يمكنه إرسال رسائل دردشة قد يتسبب في قيام تطبيق Zoom Client الضعيف بتثبيت تعليمات برمجية ضارة، مثل برامج التجسس أو البرامج الضارة، من خادم عشوائي.

أوضح Zoom في نشرة الأمن، أن إصدارات البرامج السابقة فشلت "في التحقق بشكل صحيح من اسم المضيف أثناء طلب تبديل الخادم".

تم الإبلاغ عن هذا الخلل من قبل صائد الأخطاء في مشروع Zero من Google، إيفان فراتريك، الذي أبلغ عملاق مؤتمرات الفيديو في فبراير عن هذا الخلل. أوضح فراتريك في تقرير أنه لم يكن هناك حاجة لتفاعل المستخدم لشن هجوم.

قال فراتريك في التقرير: "القدرة الوحيدة التي يحتاجها المهاجم هي أن يتمكن من إرسال رسائل إلى الضحية عبر دردشة Zoom عبر بروتوكول XMPP".

وارتفعت شعبية Zoom بعد أن أجبرت عمليات الإغلاق التي أحدثها فيروس Covid، الملايين من موظفي المكاتب على العمل من المنزل. وصلت الشركة إلى 300 مليون مستخدم يوميًا في أبريل 2020، وهو ارتفاع هائل من 10 ملايين مستخدم يوميًا في ديسمبر 2019. بعد الزيادة في شعبيتها، فحص خبراء الأمن والخصوصية سياساتها.

تم العثور على أن التشفير من طرف إلى طرف للشركة معيب. يبدو أيضًا أن سياسات الخصوصية الخاصة بها تسمح للشركة بالقيام بكل ما تريد بالبيانات الشخصية. بينما قام Zoom بإصلاح معظم هذه العيوب، لا تزال هناك مشكلات جديدة تظهر، لذا فإنه مع ظهور كل هذه المشكلات، بدأ المستخدمون في البحث عن بدائل مثل Skype وGoogle Hangouts.