Zoom Meetings uygulamasının uçtan uca şifre sistemini kullanıp kullanmadığı bugün ortaya çıktı! Tehlike büyük!
Günümüzde mesajlaşma ve görüntülü konuşmada uçtan uca şifreleme büyük önem taşıyor. İlk olarak bu sistemi kullananlardan olan Apple, diğer firmalara da ilham kaynağı olmuştu. WhatsApp’ın bile kullandığı uçtan uca şifrelem sisteminin Zoom Meetings uygulamasının kullanıp kullanmadığı merak konusuydu.
COVID-19 salgını yüzünden insanların evden çalışmaya başladıklarını defalarca sizlere aktardık. Bu süreçte toplantılar da teknolojik ortamda yapılıyordu. Bu uygulamalar arasında büyük bir sıçrama yaşayan Zoom, bir takım güvenlik açıklarını da beraberinde getirdi. Uygulama ilk olarak iOS sürümündeki kişisel verileri Facebook’a sızdırması ile patlamıştı. Bunu “yanlışlıkla” yaptık diyen ekip, uygulamayı güncelleyip bu açığı kapatmıştı.
Bugün ise ortaya ilginç bir detay çıktı. Açıklanan bilgilere göre Zoom’da uçtan uca şifreleme sistemi yer almıyor. Yani tüm yazışmalarınız ve verileriniz karşı tarafa şifresiz olarak gönderiliyor. Peki, bunun ne gibi dezavantajlı var? Hackerlar, mesajlaşmalar şifrelenmediği için gönderilen tüm mesajları kolayca görüntüleyebiliyor ve manipüle edebiliyor.
Zoom uygulamasında toplantı sahibine “Uçtan uca şifreli toplantıyı etkinleştir” opsiyonu sunuluyor. Daha sonra gösterilen uyarıda, toplantının E2E şifrelemesiyle güvenlik sağlandı ibaresi yer alıyor. Toplantı başladığında ise; katılımcılar, fareyle üzerine geldiklerinde “Zoom şifreli bağlantıyı uçtan uca kullanıyor.” yazan ibareyi görüyor.
Zoom uygulaması nasıl kurulur? Nasıl kullanılır?
Ancak video toplantılarının gerçekten uçtan uca şifrelenip şifrelenmediği hakkında firmaya soru yöneltildiğinde Zoom sözcüsü; “Şu anda Zoom video toplantıları için E2E şifrelemesini etkinleştirmek mümkün değil. Zoom video toplantılarında TCP ve UDP birleşimi kullanılıyor. TCP bağlantıları TLS kullanılarak yapılır ve UDP bağlantıları, TLS bağlantısı üzerinden anahtar kullanılarak AES ile şifrelenir.” ifadelerini kullandı.
Yani Zoom’da gerçekten uçtan uca şifreleme kullanılmıyor. Bunun yerine E2E’nin bir tık altı güvenlik sunan AES protokolü ile görüşmeler şifreleniyor.
AES ile şifreleyen anacak E2E ile şifreledik diyen uygulamanın başı bu yüzden çok ağrıyacak gibi görünüyor. Avrupa Birliği muhtemelen bu konu hakkında bir soruşturma başlatabilir.