المؤلف: خانه نغوين ين، مهندس Software II، OPSWAT
خلفية
هناك العديد من المنظمات والأفراد الذين يقومون بإنشاء أنظمة التشفير الخاصة بهم. في حين أن هناك مزايا أمنية لاستخدام مخطط مخصص ، يتم تضخيم العيوب عندما يكون للبرنامج الذي يستخدم المخطط عدد كبير من المستخدمين. Zoom هي إحدى الشركات التي تستخدم نظام التشفير الخاص بها ، وتم اكتشاف ثغرة أمنية خطيرة تتعلق بهذا التشفير. نتيجة لهذه الثغرة الأمنية ، تم تسريب معلومات أكثر من 500,000 مستخدم Zoom Meeting.
بسبب جائحة COVID-19 ، كانت الحكومات تفرض أوامر المأوى في المكان ، مما أدى إلى عمل الموظفين من المنزل. للعمل بفعالية ، يجب أن يظلوا على اتصال وتواصل آمن. Zoom هي أداة يستخدمها العديد من الأشخاص ، في جميع أنحاء العالم ، لمساعدتهم على القيام بذلك. في الواقع ، تستخدمه العديد من الشركات كوسيلة اتصال رئيسية ، مما يجعل هذه الثغرة مشكلة خطيرة.
لماذا حدث ذلك؟
في منشور مدونة Zoom في أبريل ، يوضح Zoom أنهم لا ينفذون حاليا التشفير الفعلي من طرف إلى طرف ، على الرغم من أنهم أطلقوا على التشفير من طرف إلى طرف. لقد استخدموا المصطلح لوصف نوع من تشفير النقل بين الأجهزة وقطع Zoom. نتيجة لذلك ، من الناحية النظرية ، يتمتع Zoom بالقدرة على فك تشفير معلومات Zoom Meeting ومراقبتها ، بمجرد أن تكون هذه المعلومات على الخادم.
أين الثغرة الأمنية؟
يتم توزيع بيانات الفيديو والصوت الخاصة باجتماعات Zoom على جميع المشاركين من خلال خادم Zoom (سحابة Zoom). عندما العملاء الاستضافة محليًا، يقوم Zoom بإنشاء مفتاح AES الذي يشفر الاجتماع ويتمتع بإمكانية الوصول إليه. يمكن لمضيفي الاجتماعات تعيين اجتماعاتهم بحيث تحتوي على غرف انتظار افتراضية، مما يمنع المشاركين في الاجتماع من الوصول المباشر إلى اجتماع Zoom. بدلاً من ذلك، يجب على المشاركين الانتظار حتى يسمح لهم مضيف الاجتماع بالدخول. (وفقًا لباحثي The Citizen Lab). ومع ذلك، يمكن لكل شخص في غرفة الانتظار الوصول إلى مفتاح فك تشفير الاجتماع. لذلك، لا يتعين على الشخص الضار الانضمام فعليًا إلى الاجتماع للوصول إلى بث الفيديو والصوت الخاص بالاجتماع.
تم الإبلاغ عن مشكلة أمنية حرجة أخرى في تشفير Zoom. وفقا للوثائق التي تم إصدارها مسبقا ، استخدم تطبيق Zoom خوارزمية AES-256 لتشفير محتوى الاجتماع. ولكن ، يستخدم تطبيق Zoom في الواقع مفتاح تشفير واحد 128 بت بدلا من ذلك.
أخيرا ، يقوم Zoom بتشفير وفك تشفير كل الصوت والفيديو أثناء الاجتماعات باستخدام AES في وضع البنك المركزي الأوروبي. لا ينصح بتشفير البنك المركزي الأوروبي لأنه غير آمن لغويا ، مما يعني أن مجرد مراقبة النص المشفر من قبل البنك المركزي الأوروبي يمكن أن يؤدي إلى تسريب معلومات حول النص العادي. يستخدم وضع ECB في نفس الكتلة (8 أو 16 بايت) من تشفير النص العادي الذي ينتج دائما نفس كتلة النص المشفر. يمكن أن يسمح ذلك للمهاجم باكتشاف أن الرسائل المشفرة من قبل البنك المركزي الأوروبي متطابقة أو تحتوي على بيانات متكررة ، أو مشاركة بادئة مشتركة ، أو سلاسل فرعية شائعة أخرى.
لمزيد من التفاصيل ، هناك عرض رسومي لطيف لهذا الضعف على ويكيبيديا
تم الإبلاغ عن ثغرة التشفير هذه ك CVE-2020-11500.
يتوفر مزيد من المعلومات حول هذه الثغرة الأمنية في https://metadefender.opswat.com/نقاط الضعف/مكافحة التطرف العنيف 2020-11500
الآثار المحتملة
سيكون من الأسهل على المهاجمين فك تشفير محتوى الاجتماع وانتهاك خصوصية المستخدم.
كيف OPSWAT كشف ثغرة التكبير؟
OPSWAT يمكن للتقنيات مراقبة جميع نقاط النهاية في المؤسسة التي بها هذه الثغرة الأمنية.
MetaDefender يمكن ل Access اكتشاف الأجهزة التي بها ثغرة Zoom CVE-2020-11500، بالإضافة إلى توفير إرشادات الإصلاح.
الاصلاح
يوصى بشدة أن تحافظ دائما على تحديث Zoom.
مراجع
https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Electronic_Codebook_(ECB)
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
