אפליקציית ועידת הווידאו הפופולרית Zoom ספגה אש בגלל פגמי אבטחה רבים בימים האחרונים, וכעת פרסמה התנצלות פומבית בתוספת תוכנית פעולה לפתרון הבעיות.
ההודעה הגיעה באפוסט בבלוג שוחרר לאתר של זוםב-1 באפריל ומנסה למתן חלק מהעיתונות הרעה שקיבלה החברה במהלך השבועיים האחרונים.
הפוסט בבלוג משרת כמה מטרות. הראשון הוא לשמש מאגר לבעיות שהוכרו בעבר, תוך ציון שהחברה פועלת לתיקון בעיות אבטחה כשהן מתעוררות. ההודעה גם מסבירה על מה עבדה החברה, כולל סעיף נרחב על תפקידה של זום בכיתות יסודיות ותיכוניות.
המטרה השנייה של הבלוג היא לשרטט את תכנית הפעולה של החברה לטיפול בנושאים מתמשכים. צוות זום נותן לעצמו 90 יום לתקן בעיות קיימות.
ב-90 הימים האלה, זום מבצעת הקפאת תכונות - לא יתרחש פיתוח נוסף במוצרי זום עד שבעיות האבטחה ייפתרו. הם מתכננים לחזק את תכונות האבטחה שלהם באמצעות מגוון אמצעים, כולל בדיקות חדירת קופסאות לבנה והרחבת נהלי בדיקת באגים הנוכחיים.
זום תתחיל להיפגש עם מומחי צד שלישי, כמו גם משתמשי זום, כדי "להבין ולהבטיח את האבטחה של כל מקרי השימוש החדשים שלנו לצרכנים". הם מתכננים להכין דוח שקיפות לטיפול בבקשות לנתונים, רשומות ותוכן. החברה מתכננת לארח סמינר מקוון שבועי כדי לספק עדכוני אבטחה למשתמשי זום.
"אנחנו חוקרים ופועלים באופן פעיל כדי לטפל בבעיות האלה", אמר נציג זוםAppleInsiderבמייל. "אנחנו בתהליך של עדכון המתקין שלנו כדי לטפל בבעיה אחת ונעדכן את הלקוח שלנו כדי להקל על בעיית המיקרופון והמצלמה."
שלל התלונות האחרון התחיל כשהתגלה שהחברה כןשליחת נתוני משתמש לפייסבוקללא רשותם. זום הודיעה לפייסבוק כאשר אפליקציית iOS נפתחה, באיזה מכשיר משתמש משתמש, באיזה ספק הוא נמצא, ומאיזה עיר ואזור זמן הם מתחברים. הנתונים כללו גם תג מפרסם ייחודי, המחובר למכשיר של משתמש, שחברות משתמשות בו כדי למקד פרסומות.
זום אמרה בפומבי לכלי החדשות שהמידע עבר אנונימיות, אך הבין מדוע משתמשים כועסים. החברההסיר את יכולת האפליקציהלשלוח נתונים לפייסבוק בעדכון שנדחק ב-27 במרץ.
זמן קצר לאחר מכן, מומחי אבטחה גילו זאתזום הצליחה להתקין את עצמה במחשבי Macעל ידי עקיפת תכונות האבטחה של אפל. במקביל התגלה שהחברה טענה שהשירות מציע הצפנה מקצה לקצה אך לא היו ברשותה תכונות אלו.
ב-1 באפריל,זה התגלהכי פגם בתוכנה של זום מאפשר למשתמש מקומי או לתוכנה זדונית לחזור על הרשאות המצלמה והמיקרופון של זום. תוקף יכול להחדיר קוד זדוני למרחב התהליך של זום ו"לרשת" הרשאות מצלמה ומיקרופון, מה שמאפשר לו לחטוף אותם ללא ידיעת המשתמש.
בשנת 2019, חוקר אבטחה מצא אפגיעות של יום אפסבאפליקציה שיכולה הייתה לאפשר לאתרים זדוניים להפעיל ולצפות במצלמת אינטרנט של Mac ללא ידיעת המשתמש.
