Önemli Bilgiler
- ABD Federal Ticaret Komisyonu, güvenlik konusunda kullanıcıları yanlış yönlendirdiğini iddia ettikten sonra Zoom ile 9 Kasım'da bir anlaşmaya vardığını duyurdu.
- Anlaşma, Zoom'un "kapsamlı bir güvenlik programı" uygulamaya koymasını gerektiriyor.
- Zoom, sorunları zaten çözdüğünü ve kısa süre önce uçtan uca şifreleme sunacağını duyurdu.
Popüler konferans platformu Zoom, ajansın güvenlik düzeyi konusunda kullanıcıları yanlış yönlendirdiği yönündeki iddialarının ardından ABD Federal Ticaret Komisyonu (FTC) ile yapılan anlaşmanın bir parçası olarak güvenlik uygulamalarını güçlendiriyor.
Zoom, pandemi nedeniyle yüz yüze görüşmeleri ciddi şekilde sınırlayan dünya nedeniyle video konferans platformuna dönerken, sadece birkaç ay içinde herkesin bildiği bir isim haline geldi. Ancak, bir FTC şikayeti, Zoom'un "kullanıcılarının güvenliğini b altalayan bir dizi aldatıcı ve haksız uygulamaya giriştiğini" iddia etti.
Bu, bu yılın başlarında, pazarlama iddialarına rağmen platformun uçtan uca şifreleme kullanmadığını tespit eden güvenlik uzmanlarının incelemesinin ardından geldi. Zoom, popülaritesinin artması sırasında, istenmeyen katılımcıların "zoombombing" adı verilen bir uygulamada toplantıları bozması gibi başka güvenlik sorunları da gördü. FTC anlaşmasının bir parçası olarak Zoom, "kapsamlı bir güvenlik programı" uygulamayı taahhüt etti.
FTC Tüketici Bürosu direktörü Andrew Smith, "Pandemi sırasında neredeyse herkes -aileler, okullar, sosyal gruplar, işletmeler- iletişim kurmak için video konferansı kullanıyor ve bu platformların güvenliğini her zamankinden daha kritik hale getiriyor." Koruma, ajansın basın açıklamasında diyor.
"Zoom'un güvenlik uygulamaları vaatleriyle uyumlu değildi ve bu işlem, Zoom toplantılarının ve Zoom kullanıcıları hakkındaki verilerin korunmasını sağlamaya yardımcı olacak."
Devlet Denetimi
FTC şikayeti, Zoom'un, en önemlileri uçtan uca şifreleme hakkında yapılan iddialarla ilgili olmak üzere, güvenlikle ilgili çeşitli konularda kullanıcılarını yanlış yönlendirdiğini iddia ediyor.
Zoom'un 2016'dan beri Zoom aramaları için uçtan uca 256 bit şifreleme sunduğunu iddia ettiğini, ancak gerçekten daha düşük bir güvenlik düzeyi sağladığını söyledi. Uçtan uca şifreleme etkinleştirildiğinde, yalnızca bir arama veya sohbetteki katılımcılar, aktarılan bilgilere erişebilir; Zoom, hükümet veya başka bir taraf değil.
Ayrıca şikayet, Zoom'un bazı kullanıcılarına hemen şifreleneceklerini söylediğinde kayıtlı, şifrelenmemiş toplantıları sunucularında 60 güne kadar sakladığını iddia ediyor.
Başka bir sorun, Zoom'u silerken bile kullanıcıların bilgisayarlarında kalan ve onları bilgisayar korsanlarına karşı savunmasız hale getirebilecek ZoomOpener adlı Mac yazılımıyla ilgilidir. FTC Tüketici Eğitimi Uzmanı Alvaro Puig bir blog yazısında, "Bu yazılım bir Safari tarayıcı güvenlik ayarını atladı ve kullanıcıları riske attı - örneğin, yabancıların bilgisayarlarının web kameraları aracılığıyla kullanıcıları gözetlemesine izin verebilirdi."
Zoom'un Yanıtı
Zoom FTC şikayetini kısa süre önce çözerken, şirket Lifewire'a bir e-postada sorunları "zaten ele aldığını" söyledi.
Bir şirket sözcüsü Lifewire'a bir e-postada "Kullanıcılarımızın güvenliği Zoom için en büyük önceliktir" dedi. Zoom, Nisan ayında gizlilik ve güvenlikle ilgili 100'den fazla özellik sağlayan 90 günlük bir planın başlatılması da dahil olmak üzere FTC'nin iddialarına yanıt vermek için birkaç adım attı.
Zoom, Mayıs ayı sonunda Keybase adlı bir şirketi satın almasıyla mümkün olan uçtan uca şifrelemeyi Ekim ayı sonlarında kullanıma sundu. Uçtan uca şifreleme hala Zoom'un "teknik önizleme" modu olarak adlandırdığı modda ve şirket, Zoom sunucularının şifreleme anahtarlarına erişimi olmadığını söylüyor. Şimdilik, toplantı sahibi ve ara odalarından önce toplantıya katılma yeteneği de dahil olmak üzere, uçtan uca şifreleme modunda bazı özellikler kısıtlanmıştır.
Zoom'un Uçtan Uca Şifrelemesi Nasıl Kullanılır
Alabama Üniversitesi, Birmingham bilgisayar bilimi profesörü Nitesh Saxena, Zoom'un gerçek bir uçtan uca şifreleme sistemi uygulama çabalarının "doğru yönde atılmış bir adım" olduğunu söylüyor, ancak daha yapılacak çok iş olduğunu belirtiyor.
"Kullanıcıların Zoom aramalarından talep edebileceği güvenlik düzeyini gerçekten sağlayabilmeden önce ele alınması gereken önemli sorunlar var" diyor.
Zoom'un güvenliğini kapsamlı bir şekilde inceleyen Saxena, uçtan uca şifreleme yönteminin güvenliğinin nihayetinde toplantı katılımcılarının şifreleme anahtarlarını doğrulamak için kullanılan işleme bağlı olduğunu söylüyor (dinleyenleri aramanın dışında tutmak için önemli bir adım)).
Bu durumda, kullanıcılar toplantıya başlamadan önce bunu kendileri kontrol eder. Zoom'un uçtan uca şifreleme protokolünün ilk aşamasında, toplantı sahibi, diğerlerinin ekranlarında kontrol etmesi gereken 39 basamaklı bir kod okur.
Zoom'un güvenlik uygulamaları vaatleriyle uyumlu değildi ve bu eylem, Zoom toplantılarının ve Zoom kullanıcıları hakkındaki verilerin korunmasını sağlamaya yardımcı olacak.
Saxena ve ekibi tarafından yapılan araştırmaya göre, birisi dikkat etmezse ve yanlışlıkla eşleşmeyen bir kodu kabul ederse veya işlemi tamamen atlarsa bu yaklaşım insan hatasına eğilimli olabilir.
Ayrıca, toplantı sahipleri ve katılımcıları, varsayılan olarak açık olmadığından toplantıya başlamadan önce uçtan uca şifrelemeyi etkinleştirdiklerinden emin olmalıdır. Saxena'nın araştırması ayrıca Zoom'un kullandığı sayısal kod türlerinin de belirli bir saldırı türüne eğilimli olabileceğini buldu.
Yani, Zoom kullanıcıları, platformun FTC şikayetinin ortaya çıkardığı ana güvenlik sorunlarını zaten ele aldığı ve şimdi uçtan uca şifrelemenin ilk aşamasını sunduğu için biraz rahatlayabilir. Ancak konferans katılımcıları, yeni uçtan uca şifreleme modunu doğru şekilde kullanmanın, aramanın başında kod doğrulama işlemi zamanı geldiğinde ekstra dikkat gerektirdiğinin farkında olmalıdır.
