اكتشف باحث في مجال الأمن التقني ثغرة في إصدار تطبيق ”زوم“ الخاص بنظام التشغيل ”ماك أو إس“ يمكنها تهديد عمل نظام التشغيل برمته.
الثغرة تتعلق بمثبت ”زوم“ على نظام التشغيل، فرغم أن تثبيت التطبيق يتطلب من المستخدم إدخال كلمة مرور خاصة لإضافة التطبيق إلى النظام، إلا أن باتريك واردل اكتشف أن وظيفة التحديث التلقائي للتطبيق تعمل بعد ذلك في خلفية النظام دون إذن المستخدم.
وأوضح واردل أن وجود خطأ في تثبيت تحديثات الحزم البرمجية الجديدة لزوم يعني إمكانية اختراق نظام التشغيل عبر قرصنة، يمكن لصاحبها إرسال رسالة مزيفة إلى المستخدم يطلب فيها كلمة مروره، ليتمكن لاحقا من تثبيت أي نوع من الأكواد البرمجية الضارة بجهاز المستخدم.
وعبر مثل هذه الأكواد، يتمكن المخترق من الوصول إلى مستويات أعمق من نظام التشغيل، وصولا إلى مستوى يمكن من خلاله إضافة أو إزالة أو تعديل أي ملفات على حاسوب المستخدم، حسب ”ذا فيرج“.
الغريب أن واردل أبلغ عن الثغرة الأمنية في كانون الأول/ديسمبر من العام الماضي، لكن استجابة ”زوم“ ظلت منطوية على ثغرات أخرى، ما أصابه بالإحباط، ودفعه للتحذير من تلك الثغرات علنا بعد 8 أشهر من الانتظار.
من جانبه، اعترف مسؤول العلاقات العامة للأمان والخصوصية في شركة ”زوم“ مات ناجل، بأن فريق التطوير بالشركة ”على دراية بالثغرة الأمنية التي تم الإبلاغ عنها مؤخرًا، وارتباطها بتثبيت التحديث التلقائي لبرنامج الاجتماعات الشهير على نظام التشغيل ماك أو إس“، مشيرا إلى أن ”الفريق يعمل بجد لمعالجتها“.
لكن واردل يؤكد أن الخطأ البرمجي في مثبت ”زوم“ سهل الإصلاح، وأنه أرسل لإدارة زوم كيفية تنفيذه، دون جدوى.
وعبر الباحث في الأمن التقني عن أمله في أن يسفر الحديث العلني عن ثغرة زوم الشركة إلى الاهتمام بإصلاح أكواد تطبيقها البرمجية دون إبطاء.
يشار إلى أن واردل هو أحد مؤسسي Objective-See Foundation، وهي منظمة غير ربحية تستهدف إنشاء أدوات أمان تقنية مفتوحة المصدر، وأحد من شاركوا في مؤتمر ”بلاك هات Black Hat“ للأمن السيبراني الأسبوع الماضي.