منصة "زووم" ليست آمنة و لا تحترم خصوصية المستخدمين!

منصة "زووم" ليست آمنة و لا تحترم خصوصية المستخدمين!

منصة زووم للاتصال عبر الإنترنت

مع انتشار فيروس كورونا (COVID-19)، اعتمد الكثير من الشركات والجامعات سياسات العمل من المنزل، وبالتالي ازداد عدد الناس الذين يستخدمون أدوات الاتصال وإجراء الاجتماعات عبر الإنترنت.

منصة “زووم” (Zoom)، وهي إحدى منصات الاتصال عبر الإنترنت التي ازدادت شعبيتها في الآونة الأخيرة، تشتمل على عدة مشاكل فيما يتعلق بالخصوصية، مثل مراقبة حركة الجهاز (هاتف/كمبيوتر) وجمع الكثير من البيانات الشخصية عن المستخدمين.

بالإضافة إلى ذلك، فشلت “زووم” في معالجة ثغرات أمنية على منصتها، ففي عام 2019، حاول بعض خبراء الأمن الرقمي التواصل مع “زووم” لتصحيح بعض المشاكل الخطيرة إلا أنّ الشركة لم لم تستجب في الوقت المناسب وعلى نحوٍ كافٍ، مما يثير شكوكاً حول التدابير التي تتخذها لحماية المعلومات الخاصة للمستخدمين.

مخاوف بشأن الخصوصية

توفر “زووم” ميزة “مراقبة انتباه الحضور” (attendee attention tracking) التي تسمح لربّ العمل أو أي شخص آخر يدير الجلسة (المضيف) أن يراقب أجهزة المشاركين في الاتصال من دون موافقتهم.

توضح الشركة في سياسة الخصوصية الخاصة بها أنّه “يمكن لمدير الجلسة رؤية إشعار قرب قائمة المشاركين في الاجتماع أو الندوة عبر الإنترنت، إذا ابتعد المشارك عن برنامج ’زووم‘ للكمبيوتر أو تطبيق للهاتف المحمول لأكثر من 30 ثانية”، أما الإشعار حول التركيز (In focus) فهو “يعني أنّ المستخدم يفتح اجتماع ’زووم‘ وينشط عليه”.

بالمختصر، تعمل ميزة “مراقبة انتباه الحضور” كالتالي: في حال كنتم مشاركين في اتصال على “زووم”، وقمتم بتحريك سهم الماوس أو نقرتم على أي شيء خارج برمجية “زووم” (software client)، سيتلقى مدير الجلسة أو المضيف إشعاراً بعد 30 ثانية من فعلكم لهذا الأمر. وهذا يعني أنّ أمامكم 30 ثانية قبل العودة إلى واجهة “زوم” لكي تتفادوا إدراجكم ضمن قائمة “الذين يفعلون شيئاً آخر أثناء الاجتماع”، حتى لو كان ذلك اجتماعاً روتينياً. وهذا خرق واضح للحق في الخصوصية وخطوة خطيرة نحو الرقابة الرقمية.

هذه الميزة التي تمكّن “زووم” من معرفة ما إذا كان المستخدم يشيح بتركيزه خارج المنصة لأكثر من 30 ثانية، يمكن أن تعني أيضاً أنّ “زووم” يمكنها معرفة التطبيقات والبرمجيات الأخرى التي تستخدمها خلال الاجتماع وتجمع بيانات حول استخدامك لهذه التطبيقات. تشير سياسة الخصوصية للشركة إلى أنّه “يجوز لنا (زووم) أيضاً جمع بعض البيانات الشخصية من شركاء خارجيين. وفي بعض الأحيان، فإنّ شركات أخرى تساعدنا في تقديم الخدمة (مقدمو الخدمة الذين نتعاون معهم) قد تصل أو تجمع معلومات نيابة عنا عند استخدامك لمنتجاتنا”.

مشاكل الخصوصية التي تواجه “زووم” ليست جديدة، ففي العام الماضي، قام “مركز معلومات الخصوصية الإلكترونية” (Electronic Privacy Information Center)، وهو مركز أبحاث مستقل لا يبغي الربح في واشنطن العاصمة ويسعى إلى زيادة وعي الجمهور بشأن قضايا الخصوصية وحقوق الإنسان ذات الصلة، بتقديم شكوى إلى “لجنة التجارة الفيدرالية الأميركية” بشأن مسألة “مراقبة انتباه الحضور” في “زووم”. يرد في الشكوى أنّ “’زوم‘ قد صمّمت عمداً خدمة عقد المؤتمرات عبر الإنترنت لتتجاوز إعدادات أمان المتصفح وتشغيل كاميرات الأجهزة الخاصة بالمستخدم عن بُعد، من دون علم المستخدم أو موافقته. ونتيجة لذلك ، عرّضت ’زووم‘ المستخدمين لخطر المراقبة عن بعد وإشراكهم في مكالمات فيديو غير مرغوب فيها بالإضافة إلى هجمات الحرمان من الخدمات (denial-of-service attacks)”.

تقرّ “زووم” في سياسة الخصوصية أنّها تجمع بيانات شخصية منكم وعنكم، أما المشكلة الأكبر فتتمثل في أنّ أنه حتى مع تحديد الشركة لنوع البيانات التي تجمعها فهي تؤكّد أنها تجمع بياناتكم الشخصية عند استخدامكم لمنتجاتها أو التفاعل معها بطريقة أخرى “سواء كان لديكم حساب ’زوم‘ أم لا”. تجمع “زووم” الكثير من المعلومات المحدّدة للهوية الشخصية، مثل اسمكم وعنوانكم الفعلي وعنوان بريدكم الإلكتروني ورقم هاتفكم ووظيفتكم والمؤسسة التي تعملون فيها وبطاقة الائتمان الخاصة بكم، بالإضافة إلى معلومات الجهاز الذي تستخدمونه ومعلوماتكم على “فيسبوك” في حال كنتم تستخدمون ملفكم الشخصي لتسجيل الدخول إلى “زووم”.

تلفت “زووم” أيضاً إلى أنّها ستحتفظ بالبيانات التي تجمعها منكم مباشرة أو من أجهزتكم أو من أولئك الذين يتواصلون معكم باستخدام خدمات “زوم”. أما البيانات الشخصية فتعرّفها الشركة في سياسة الخصوصية بأنّها “أيّ معلومات يمكن استخدامها لتحديد شخص معين أو ربطها به”.

مخاوف بشأن أمن المعلومات ونقاط الضعف في المنصة

لا تنشر “زووم” سياسة واضحة بشأن المشاكل المتعلقة بأمن المنصة، ما يعرّض الملايين من المستخدمين الذين يستخدمون هذا التطبيق إلى خطر كشف خصوصيتهم.
في تقرير أصدرته قبل أيام مؤسسة “بروتون ميل” (ProtonMail) التي تقدم خدمة بريد إلكتروني آمنة معروفة جداً بين المدافعين عن الخصوصية، يشرح استشاري في الأمن الرقمي كيف كانت “زووم” تشغل خادم ويب محلي على جهاز “ماك” (Mac) خاص بالمستخدم، ما منحها القدرة على تجاوز ميزات الأمان في متصفح “سفاري 12” على برمجية التشغيل (OSX) من “آبل”، وذلك من أجل تشغيل برمجيتها.

والمفارقة أنّ خادم الويب هذا لم يُذكر في أي وثائق رسمية من “زووم”. في حين تطلب ميزة الأمان في متصفح “سفاري” إذن المستخدم قبل تشغيل كاميرا الجهاز، فإنّ خادم الويب الذي ثبتّته “زوم” لم يكن آمناً بما يكفي، ما يعني أنّه يمكن لأي موقع ويب أن يعيد توجه السيرفر أو التفاعل معه. وقد سمح هذا الأمر لمواقع ويب خبيثة أن تتمكن من الوصول إلى الكاميرا الشخصية من دون أن يلاحظ المستخدمون ذلك، وبالتالي كان بمقدور المتربَصين مراقبة المستخدمين عبر الإنترنت حتى لو كانوا مدركين لهذا الأمر. وقد عالجت “زووم” هذه المشكلة في إصدار جديد من “زووم” في نهاية يوليوز 2019.

على الرغم من استغناء “زووم” عن سيرفرات الويب هذه، فإنّ تجاهلها وإهمالها مسائل الأمن والخصوصية لصالح توفير الخدمة يطرح عدة أسئلة فيما خصّ الثقة بهذه المنصة!
تطرّق الباحث الأمني بروس شناير إلى الإهمال الذي تتعمّده الشركة، حيث قال إنّ “زوم” أُبلغت بالثغرة بكل مسؤولية في 26 مارس 2019، لكنّها اكتفت بحل “الإصلاح السريع” (quick fix) في 24 يونيو بعد 90 يوماً من الانتظار، أي قبل يوم واحد من الموعد النهائي للتصريح عن هذه الثغرة علناً.

نصائح أمنية ومنصات بديلة

ننصح جميع المستخدمين بقراءة سياسة الخصوصية وشروط الاستخدام قبل استخدام أي منصة أو خدمة، خصوصاً إذا كانت تقدم خدمات التواصل والاتصال.
إذا قررتم الاستغناء عن “زووم”، نوصيكم بالمنصات والبرمجيات البديلة الآمنة ومفتوحة المصدر، ومنها على سبيل المثال:
“جيتسي” (Jitsi): تطبيق مجاني ومفتوح المصدر يقدم خدمات الاتصال الصوتي والاتصال بطريقة الفيديو، وعقد المؤتمرات بطريقة الفيديو، وميزة للتراسل الفوري على الويب، كما يعمل على منصات تشغيل مختلفة مثل “ويندوز” (Windows) و”لينكس” (Linux) و”ماك أو إس إكس” (Mac Os X) و”أندرويد” (Android).
“واير” (Wire): منصة للتواصل والاتصال المشفر بين الطرفين، تعمل على أنظمة التشغيل “آي أو إس” (iOS) و”أندرويد” (Android) و”ويندوز” (Windows) و”ماك أو إس” (macOS) و”لينكس” (Linux)، بالإضافة إلى متصفحات الويب. تقدم “واير” مجموعة ميزات تعاونية تجمع بين التراسل وإجراء لمكالمات الصوتية ومكالمات الفيديو ومؤتمرات الفيديو ومشاركة الملفات.

إذا كنتم ملزمين باستخدام “زووم”، نقترح النصائح التالية لحماية بياناتكم:

استخدموا أكثر من جهاز أثناء مشاركتك في الاجتماعات على “زووم” لتجنب تلقي مدير الجلسة إشعاراً حول تتبع الانتباه.
تجنبوا استخدام “فيسبوك” لتسجيل الدخول، وذلك لكي تمنعوا “زووم” من الوصول إلى بياناتكم على موقع التواصل.
قوموا بتحديث تطبيق “زووم” باستمرار للحصول على آخر التحديثات المتعلقة بأمن المنصة.