الرئيسية / أجهزة ذكية / أبل / ثغرة أمنية في تطبيق المؤتمرات Zoom على أجهزة ماك قد تسمح لأي موقع ويب بالانضمام إلى مكالمة فيديو دون إذن

ثغرة أمنية في تطبيق المؤتمرات Zoom على أجهزة ماك قد تسمح لأي موقع ويب بالانضمام إلى مكالمة فيديو دون إذن

يمكن لثغرة أمنية خطيرة في إصدار ماك من برنامج المؤتمرات Zoom أن تختطف كاميرات الويب وأيضًا تجعل المستخدمين عرضة لهجمات الخداع و DOS.

العيب يستفيد من ميزة Click للانضمام إلى Zoom ويمكن للاستغلال أن يجبر المستخدمين على الانضمام إلى مؤتمر مع تمكين كاميرات الويب الخاصة بهم دون إذن منهم وإذا قاموا بالنقر فوق ارتباط خاص في المستعرض الخاص بهم.

تحدث مشكلة الأمان لأن Zoom يثبت خادم ويب محلي يعمل في الخلفية على أجهزة ماك لكن خادم الويب هذا لديه أمان ضعيف وأي موقع ويب يزوره المستخدم يمكنه التفاعل معه وإجراء تغييرات على أجهزة المستخدمين ومن المقلق حتى لو قام المستخدم بإلغاء تثبيت Zoom فإن خادم الويب يظل نشطًا ويمكن استخدامه لإعادة تثبيت عميل Zoom عندما يقوم المستخدم بزيارة صفحة ويب.

حذر الباحث الأمني ​​جوناثان ليتشوه الذي اكتشف وأبلغ عن الثغرة الأمنية من أن هذا يمكن استخدامه لنوعين من الهجمات: يمكن إغراء المستخدمين بالاجتماعات مع الكاميرات قيد التشغيل من أجل جمع المعلومات عن هجمات التصيد أو يمكن لأجهزة المستخدمين يكون هدف هجمات رفض الخدمة (DOS) عن طريق إرسال طلبات غير هامة متكررة إلى الخادم المحلي.

تقليديًا يتم وضع الحماية على سطح المكتب وتطبيقات الويب لمنع هذا النوع من الاتصال المتبادل وعندما تم إعلام Zoom بمشكلة الأمان فقد أصدرت حلاً سريعًا للإصلاح قام بحفظ إعدادات المستخدمين لمعرفة ما إذا كان الفيديو ممكّنًا عند الانضمام إلى مكالمة بحيث يمكن للمستخدمين على الأقل إيقاف تشغيل كاميراتهم افتراضيًا ومع ذلك لم يعالج الإصلاح المشكلة الأساسية لخادم الويب المحلي غير الآمن.

دافعت الشركة عن قرارها في منشور بالمدونة قائلة إنه بدون استخدام خادم الويب سيتعين على المستخدمين النقر للتأكيد أنهم يريدون بدء عميل Zoom قبل الانضمام إلى اجتماع.  “يُمكّن خادم الويب المحلي المستخدمين من تجنب هذه النقرة الإضافية قبل الانضمام إلى كل اجتماع ونشعر أن هذا هو الحل المشروع لمشكلة تجربة مستخدم فقيرة مما يتيح لمستخدمينا عقد اجتماعات أسرع بنقرة واحدة للانضمام.” كما أشار إلى أنه لا يوجد ما يشير إلى أنه لم يتم استخدام الاستغلال مطلقًا وحتى لو تم استخدامه سيرى المستخدمون أنهم انضموا إلى اجتماع دون قصد ويمكنهم المغادرة على الفور.

وإذا كانت راحة عدم الاضطرار إلى النقر فوق زر إضافي واحد تستحق مشكلة الأمان الضخمة التي أنشأها خادم الويب غير الآمن فليس موضوعًا تحرص Zoom على مناقشته وفي بيان إلى Gizmodo قالت الشركة إن “الاجتماعات بنقرة واحدة للانضمام” كانت “أداة تمييز المنتجات الرئيسية” ولم تعلن عن أي خطط لمعالجة مشكلة خادم الويب غير الآمنة.

عن فدوى

شاهد أيضاً

سامسونج تعلن رسميًا عن هاتفها الجديد Galaxy M30s

أعلنت الشركة العملاقة سامسونج اليوم رسميًا عن إطلاق هاتفها الذكي الجديد Galaxy M30s ومن المواصفات …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *