Skip to content

Zoom’un Güvenlik Çabaları Sizin İçin Ne Anlama Geliyor?

13 de Nisan de 2021

Temel Çıkarımlar

  • ABD Federal Ticaret Komisyonu, kullanıcıları güvenlik konusunda yanılttığını iddia ettikten sonra 9 Kasım’da Zoom ile anlaşmaya vardığını duyurdu.
  • Anlaşma, Zoom’un “kapsamlı bir güvenlik programı” uygulamaya koymasını gerektiriyor.
  • Zoom, sorunları halihazırda ele aldığını ve son zamanlarda uçtan uca şifreleme getireceğini duyurdu.

Evden çalışırken görüntülü aramada biri.

Ariel Skelley / Getty Images
Popüler konferans platformu Zoom, ajansın kullanıcıları güvenlik seviyesi konusunda yanılttığı yönündeki iddialarının ardından ABD Federal Ticaret Komisyonu (FTC) ile yapılan bir anlaşmanın parçası olarak güvenlik uygulamalarını güçlendiriyor. Yakınlaştırma, yüz yüze toplantıları ciddi şekilde sınırlayan salgın nedeniyle dünyanın video konferans platformuna dönmesiyle birlikte, yalnızca birkaç ay içinde popüler bir isim haline geldi. Bununla birlikte, bir FTC şikayeti, Zoom’un “kullanıcılarının güvenliğini zayıflatan bir dizi aldatıcı ve haksız uygulamada bulunduğunu” iddia etti. Bu, bu yılın başlarında platformun pazarlama iddialarına rağmen uçtan uca şifreleme kullanmadığını tespit eden güvenlik uzmanlarının incelemesini takip etti. Zoom, popülaritesinin artması sırasında, istenmeyen katılımcıların “zoombing” adı verilen bir uygulamada toplantıları çökertmesi gibi başka güvenlik sorunları da gördü. Zoom, FTC anlaşmasının bir parçası olarak “kapsamlı bir güvenlik programı” uygulamayı taahhüt etmiştir. FTC Tüketiciyi Koruma Bürosu müdürü Andrew Smith, ajansın yaptığı açıklamada, “Pandemi sırasında neredeyse herkes – aileler, okullar, sosyal gruplar, işletmeler – iletişim kurmak için video konferans kullanıyor ve bu platformların güvenliğini her zamankinden daha kritik hale getiriyor.” basın bülteni. “Zoom’un güvenlik uygulamaları verdiği sözlerle uyuşmuyordu ve bu eylem Zoom toplantılarının ve Zoom kullanıcıları hakkındaki verilerin korunduğundan emin olmanıza yardımcı olacak.”

Hükümet İncelemesi

FTC şikayeti, Zoom’un kullanıcılarını, en önemlisi uçtan uca şifrelemeyle ilgili iddialarla ilgili olan güvenlikle ilgili çeşitli sorunlar hakkında yanılttığını iddia ediyor.

Bir dizüstü bilgisayarda konferans görüşmesi yapan bir kişi.

fizkes / Getty Images
Zoom’un 2016’dan beri Zoom çağrıları için uçtan uca 256 bit şifreleme sunduğunu iddia ettiğini, ancak gerçekten daha düşük bir güvenlik seviyesi sağladığını söyledi. Uçtan uca şifreleme etkinleştirildiğinde, yalnızca görüşme veya sohbetteki katılımcılar, Zoom, hükümet veya başka herhangi bir tarafın değil, değiş tokuş edilen bilgilere erişebilir. Buna ek olarak şikayet, Zoom’un bazı kullanıcılarına anında şifreleneceklerini söylediği zaman kaydedilmiş, şifrelenmemiş toplantıları sunucularında 60 güne kadar sakladığını iddia ediyor. Başka bir sorun, Zoom’u silerken bile kullanıcıların bilgisayarlarında kalan ve bilgisayar korsanlarına karşı savunmasız hale gelebilecek ZoomOpener adlı Mac yazılımıyla ilgilidir. FTC Tüketici Eğitim Uzmanı Alvaro Puig, bir blog gönderisinde “Bu yazılım bir Safari tarayıcı güvenlik ayarını atladı ve kullanıcıları riske attı – örneğin, yabancıların bilgisayarlarının web kameraları aracılığıyla kullanıcıları gözetlemesine izin verebilirdi” diye açıklıyor.

Zoom’un Yanıtı

Zoom, FTC şikayetini kısa süre önce çözmüş olsa da şirket, Cankurtaran sorunları “zaten ele aldığı” bir e-postada. Bir şirket sözcüsü, “Kullanıcılarımızın güvenliği, Zoom için en önemli önceliktir” dedi. Cankurtaran bir e-postada. Zoom, Nisan ayında gizlilik ve güvenlikle ilgili 100’den fazla özellik sağlayan 90 günlük bir planın başlatılması da dahil olmak üzere FTC’nin iddialarına yanıt vermek için birkaç adım attı.

Uç Nokta Güvenliği Güvenli Sistem Koruması 3d İllüstrasyon

stuartmiles99 / Getty Images
Zoom, Keybase adlı bir şirketin Mayıs ayında satın almasıyla mümkün olan uçtan uca şifrelemeyi Ekim ayı sonlarında tanıttı. Uçtan uca şifreleme, Zoom’un “teknik önizleme” modu olarak adlandırdığı modda ve şirket, Zoom sunucularının şifreleme anahtarlarına erişimi olmadığını söylüyor. Şimdilik, toplantıya toplantı sahibi ve ara odalarından önce katılma yeteneği dahil olmak üzere uçtan uca şifreleme modunda bazı özellikler kısıtlanmıştır.

Zoom’un Uçtan Uca Şifrelemesini Kullanma

Birmingham’daki Alabama Üniversitesi bilgisayar bilimleri profesörü Nitesh Saxena, Zoom’un gerçek bir uçtan uca şifreleme sistemi uygulama çabalarının “doğru yönde atılan bir adım” olduğunu söylüyor, ancak yapılacak daha çok iş olduğunu belirtiyor. “Bu, kullanıcıların Zoom aramalarından talep edebilecekleri güvenlik seviyesini gerçekten sağlamadan önce ele alınması gereken önemli sorunlar var” diyor. Zoom’un güvenliğini kapsamlı bir şekilde inceleyen Saxena, uçtan uca şifreleme yönteminin güvenliğinin, sonuçta toplantı katılımcılarının kriptografik anahtarlarını doğrulamak için kullanılan işleme dayandığını söylüyor (kulak misafiri olanları aramadan uzak tutmak için önemli bir adım). Bu durumda, kullanıcılar toplantıya başlamadan önce bunu kendileri kontrol ederler. Zoom’un uçtan-uca şifreleme protokolünün ilk aşamasında, toplantı sahibi, diğerlerinin kendi ekranlarında kontrol etmesi gereken 39 basamaklı bir kodu okur. “Zoom’un güvenlik uygulamaları vaatleriyle uyuşmuyordu ve bu eylem Zoom toplantılarının ve Zoom kullanıcıları hakkındaki verilerin korunduğundan emin olmaya yardımcı olacak.” Saxena ve ekibinin yaptığı araştırmaya göre, eğer birisi dikkat etmezse ve yanlışlıkla eşleşmeyen veya süreci tamamen atlayan bir kodu kabul ederse, bu yaklaşım insan hatasına eğilimli olabilir. Ayrıca toplantı sahipleri ve katılımcılar, varsayılan olarak açık olmadığından toplantıyı başlatmadan önce uçtan uca şifrelemeyi etkinleştirdiklerinden emin olmalıdır. Saxena’nın araştırması, Zoom’un kullandığı sayısal kod türlerinin de belirli bir saldırı türüne yatkın olabileceğini buldu. Bu nedenle, Zoom kullanıcıları, platformun FTC şikayetinin ortaya çıkardığı ana güvenlik sorunlarını halihazırda ele aldığını ve şimdi uçtan uca şifrelemenin ilk aşamasını sunduğunu hissedebilirler. Bununla birlikte, konferans katılımcıları, yeni uçtan uca şifreleme modunu doğru şekilde kullanmanın, aramanın başlangıcında kod doğrulama işlemi zamanı geldiğinde ekstra dikkat göstermeyi gerektirdiğinin farkında olmalıdır.