Zoom: Şüpheli ve Kötü Programlanmış Görüntülü Sohbet Uygulaması

Bugün oğlum Ada' nın İngilizce blogum için yazdığı makaleyi, konuyu çok ilginç bulduğum için aynen çevirip ekliyorum:

Son günlerde hızlı bir yükselişte olan, ve okul grupları dahil birçok lişinin kullandığı Zoom görüntülü sohbet uygulamasına şüpheli yöntemler, yanlış vaatler ve ciddi güvenlik açıkları eşlik ediyor.

Kullanımı kolay, daha büyük gruplar için uygun ve ücretsiz bir görüntülü sohbet çözümü: Bu sözle Zoom yakın zamanda gerçek bir patlama yaşadı. Uygulamanın kategorisinde birden yükselen yıldız haline gelmesi, COVID-19 virüsünün yarattığı salgın yüzünden milyonlarca kişinin evlere kapanması nedeniyle oldu. Zoom, şu anda sadece Google ve Apple'ın uygulama mağazalarında en üst sırada değil, aynı zamanda kullanıcı sayısı da çoğaldı: Resmi rakamlara göre, her gün 200 milyondan fazla kişi zoom kullanıyor. Karşılaştırma için: Aralık ayında sadece 10 milyon kullanıcısı vardı. Menkul kıymetler borsası da bu durumdan dolayı heyecanlı: hisse fiyatı yılın başlangıcına göre neredeyse iki katına çıktı. Ancak mevcut büyüme, Zoom'un öncekinden daha yakından incelendiği anlamına da geliyor. Ve son birkaç gün içinde izlenen şey, burada şüpheli yöntemler, yanlış vaatler ve bazen şaşırtıcı güvenlik açıklarının hoş  olmayan bir resim çiziyor oluşu.



zoom görüntülü sohbet uygulamasına dikkat edin


Zoom bombardımanı

Zoom konusunda en dikkat çeken açıklar: çevrimiçi troller, ekran paylaşım işlevi aracılığıyla şok edici videolar veya pornografik içerik ekleyerek diğerlerinin sohbetlerini rahatsız etmeyi eğlenceli hale getirdi. Bu şüphesiz tatsız, ama aslında Zoom'un daha küçük mevcut sorunlarından biri. Sonuçta, ekran paylaşımı seçeneği, ayarlar aracılığıyla sohbetin başlatıcısıyla kolayca sınırlandırılabilir, bu da bu tür saldırıların artık çalışmadığı anlamına gelir. Bunun mümkün olduğu gerçeği, Zoom'u kullanmayı çok kolaylaştıran bir tuhaflık ile ilgili: başlangıçtan itibaren, doğru grup kimliğine (veya doğru bağlantıya) sahipseniz her sohbet herkese açıktır. Bu bakımdan, gizli konuşmaların bu bilgileri gizli tutması elbette özellikle önemlidir. Bu, bazı politikacıların da öğrenmesi gereken bir şey. Örneğin İngiltere Başbakanı Boris Johnson, birkaç gün önce Zoom aracılığıyla yapılan ilk kabine toplantısının ekran görüntüsünü gururla yayınladığında istemsiz eğlenceye neden oldu. Üzerinde, belirtilen grup kimliğini görmek mümkündü. En azından söz konusu sohbet bir şifre ile güvenceye alınmıştı - bu yüzden doğrudan erişim mümkün değildi. Bununla birlikte, İngiliz güvenlik makamlarının bu konudan özellikle memnun oldukları söylenemez. Sonuçta, Zoom üzerinde bu tür hassas hükümet toplantıları yapmak genellikle garip bir karardır. Hizmet uçtan uca şifreli değildir, bu da ABD merkezli operatörün teorik olarak tartışmalara yol açabileceği anlamına gelir.

Boris Johnson Zoom'u kullanıyor ve ekran görüntüsü aracılığıyla gizli grup kimliğinden bahsediyor. Şifreleme sorunları: Bununla birlikte, bu noktada, başlangıçta belirtilen yanlış vaatlere geliyoruz - Zoom aslında görüntülü sohbetlerin yalnızca kendi web sitelerinde değil, aynı zamanda resmi güvenlik tanıtım belgesinde de uçtan uca şifreli olduğunu iddia ediyor . Ama bu tam bir saçmalık. "The Intercept" tarafından sorulduğunda şirket Salı günü verilerin kullanıcı ve sunucu arasında şifrelenmiş olduğunu fakat sunucunun kendisinde şifrelenmediğini doğruladı. Bu bağlamda, HTTPS Bağlantıları için de web'de kullanıldığı gibi, klasik taşıma şifrelemesinden başka bir şey tarif etmez. Bunun, yabancıların müdahale edemediği gerçek uçtan uca şifreleme ile kesinlikle hiçbir ilgisi yoktur. Bunu, bir blog makalesi aracılığıyla, Zoom'un "açıklaması" izledi.  Diğer birçok video konferans programı uçtan uca şifrelenmez. Bununla birlikte, bunu iddia etmiyorlar ve bu nedenle kullanıcılarını yanlış vaatlerle kandırmıyorlar.

zoom görüntülü sohbet uygulamasına dikkat edin


Hemen hemen aynı anda, Zoom'un bol miktarda şüpheli yöntemi Mac OS için uygulamasıyla herkese açık hale geldi: Örneğin, yükleyici, her bir kurulumdan önce gerçekten alınması gereken kullanıcı onayını önlemek için bir numara kullanır. Dosya tıklandığında, program hemen veri taşıyıcıya kurulur. İkinci bir davranış daha da rahatsız edicidir: Yükleyen kullanıcı yönetici grubunda değilse, Zoom, sistemin kök parolasını sorar - bir sistem sorgusu gibi görünecek şekilde değiştirilmiş bir diyalogla. İsteğin yakınlaştırma ile ilgisi olduğu açık değildir. Bu sorunun keşfedicilerinin açık kelimeler bulma yöntemleri: Bu tür numaralar yalnızca kötü amaçlı yazılımlar tarafınca bilinir. Şimdi bunu bir kerelik bir kayma olarak düşünebilirsiniz, ancak değil: Zoom zaten şüpheli bir geçmişe sahip. Şirket, Mac OS sürümü kaldırıldığında, sistemde kalıntıların kaldığı bilinmeye başladığında sadece geçen Temmuz'da manşetlerde yer aldı. Ve sadece birkaç dağınık dosya değil, web siteleri tarafından kullanıcı işbirliği olmadan web kamerasına erişmek için de kullanılabilen eksiksiz bir web sunucusu Mac OS geçmişinde gerçek ... Apple, söz konusu sunucudan tamamen kurtulmak için işletim sistemi için bir güncelleme sunuyor. Güvenlik açıkları nedeniyle Zoom son zamanlarda ateş altında. Salı günü saldırganların yakınlaştırma sohbetlerinde yayınlanan bağlantıları kullanarak Windows giriş bilgilerine ulaşmalarına izin verebilecek bir hata yayınlandı. Çarşamba günü, eski bir NSA korsanı, her ikisi de Zoom'un Mac sürümünde olan iki güvenlik açığı yayınladı. Biri saldırganların mikrofona ve kameraya erişmesine izin verir. İkincisi, kötü amaçlı bir uygulamanın kök haklarını elde etmek için daha önce açıklanan yükleyici numaralarını kullanır. Sohbetler için kısa (dokuz ila on bir karakter) grup kimliğinin otomatik olarak atanması, Zoom'un geçmişe dönük olarak en akıllıca bir fikir olmadığı görülmektedir: Güvenlik araştırmacılarının keşfettiği gibi, artık tüm sayı kombinasyonlarını deneyen araçlar dolaşıyor ve sohbetler için açık bir şekilde erişilebilir olup olmadığını tesbit edebiliyorlar.

zoom görüntülü sohbet uygulamasının tehlikeleri


Düşünsel hata



Ve en sonunda "Ana merkez" Çarşamba günü rapor etmek zorunda kaldı: Zoom geliştiricileri tarafından ölümcül bir hata yapılmış. Görünüşe göre, Zoom - Gmail veya Hotmail gibi büyük sağlayıcılar hariç - aynı alan adındaki tüm e-posta adreslerinin de aynı şirketin bir parçası olduğunu varsayar. Bununla ilgili sorun: Aynı şirketin bir parçasıysanız, otomatik olarak şirket dizinine erişebilirsiniz. Bu, çeşitli daha küçük sağlayıcıların kullanıcılarının, yakınlaştırma için aynı sağlayıcıdan bir e-posta adresi kullanan tüm yakınlaştırma kullanıcılarının adını, e-posta adresini ve fotoğrafını görebilecekleri anlamına gelir. Bunun da ötesinde, görüntülü görüşmelerde kullanıcı izleme gibi bir sohbet yöneticisinin sunum sırasında hangi kullanıcıların hangi işlemi yaptığını görebileceği şüpheli özellikler de vardır. Ya da hükümet veri taleplerinin kapsamı hakkında bilgi veren bir şeffaflık raporunun eksik olması - en azından  bu konuda iyileşme vaat ediyorlar.
Adil olmak gerekirse, Zoom'un zaten bir ya da diğer açığı düzelttiği de vurgulanmalıdır. Her şeyden önce, yakın zamana kadar verilerin üçüncü taraflara aktarılmasına izin verecek olan gizlilik politikası. Bu artık yeni bir sürümde hariç tutuldu - ve bu gerçek bir ilerleme. Buna ek olarak, iOS uygulamasında çok tartışılan bir veri sızıntısı temizlendi ve bu sayede Facebook olmayan kullanıcılar hakkında bilgi bile Facebook'a gönderildi. Bununla birlikte, bu sorunun otomatik olarak Facebook girişi için resmi geliştirme kitini kullanmasından kaynaklandığına dikkat edilmelidir. Bu ayrıca, bu davranışın Android ve iOS uygulamaları arasında hiç de nadir olmadığı anlamına gelir. Bu, elbette, özel bir teselli değil, ancak onunla ilgili heyecan, ilişkide biraz abartılı görünüyor. Öte yandan Zoom, veri  gizlilik politikasında Facebook  veri transferinden bahsedilmedi.
Sonunda hala bazı düzenlemelere ihtiyaç duyan uzun bir sorun listesi. Ortaya çıkan güvenlik sorunları ne kadar tatsız da olsa, Zoom'u kullanmaktan vazgeçme nedeni değildir. Bu tür hatalar bir noktada hemen hemen her yazılım üreticisine gerçekleşir ve hızla büyüyen popülerlik de buna neden olmuş olabilir. Ayrıca, Zoom bu hataların bazılarını zaten kapattı. Özellikle Zoom'un önümüzdeki 90 gün içinde gizlilik ve güvenlik alanlarındaki iyileştirmelere odaklanmayı vaat etmesi özellikle memnuniyet verici. Aynı zamanda, belirsiz vaatlerde bulunmak için yazılım kullanmak asla iyi bir tavsiye değildir. Bu bağlamda, sadece mevcut gerçekler karar verme için bir temel olarak kalmaktadır ve resim açıktır: Tüm yanlış vaatler ve şüpheli yöntemler göz önüne alındığında, üreticiye özel video sohbetleri gibi hassas verileri ele alma konusunda güvenmek şu anda imkansızdır.

Yazar: Ada Soygül
Kaynak: https://www.deriasworld.com/2020/04/zoom-suspicious-and-bad-programmed-video-chat-application.html

26 Yorumlar

Yorumlara link eklemeyiniz tıklanabilir link olan yorumlar yayınlanmaz. Please don' t add your links at the comments they will not published.

  1. Evet gerçekten çok fazla kullanılıyor ve güvenlik açığını halletmeleri gerek.

    YanıtlaSil
    Yanıtlar
    1. Corona öncesi hiç duymamıştım bu programı. İyi ki yüklememişim diyorum şimdi :)

      Sil
  2. bizde okulda çocuklara zoom ile uzaktan eğitim veriyoruz. Oldukça kullanışlı ama açıklarının olması....

    YanıtlaSil
    Yanıtlar
    1. Açıkların olması can sıkıyor. Kızımın okulunda görüntülü bir sistem yok ama ortaokuldaki oğlum outlook kullanıyorlar. Daha büyük sınıflar için belki gereklidir bilemedim.

      Sil
  3. Ben ilk kez duyuyorum Derya'cığım, yeğenim anlar bu teknik işlerden ben hiç anlamam, skype'yi duymuştum ama bunu bilmiyordum. Bilgiler için çok teşekkürler:)

    YanıtlaSil
    Yanıtlar
    1. Ben skype bile kullanmıyorum. Ama okul ve firmalar için gerekli olabilir tabii. Risklerini bilmek önemli diye düşündüm :)

      Sil
  4. Üni'nin adını vermeyeceğim de , başka bi üniden arkadaş anlattıydı daha bu sabah. Bir hocanın anlatacağı dersin linkini olmayacak sitelere göndermişler. Öğrenciler bile varken tuhaf tuhaf adamlar girmiş. Bence koca ünilerin böyle kolaya kaçmaması gerekiyor. Kendi alt yapılarıyla iyi bir sistem geliştirmeliler...

    YanıtlaSil
    Yanıtlar
    1. Başka yaşayanlar da yazdı bana işyerlerinde de olmuş.

      Sil
  5. Benim kızın öğretmenide bu program ile günlük iki saat eğitim veriyor.

    YanıtlaSil
    Yanıtlar
    1. Oldukça fazla kullanan var. Sanırım korsanlara cazip gelmesi de bu yüzden.

      Sil
  6. Her yerde adı geçer oldu, zoom ,zomm diye:)

    YanıtlaSil
    Yanıtlar
    1. Evet çok kullanan var. Bizde de siyasetçiler ve firmalar kullanıyormuş ama okullara girmedi neyse ki.

      Sil
  7. Oğlum Mirza'nın uzaktan eğitimi için indirdiğimizde tanıdık bu programı. Zoom hakkında bu kadar geniş bilgiyi bize anlattığı için Ada'ya çok teşekkür ediyorum. Merak ediyordum bende çünkü bizler neyse de çocukların bilgisayarlarına erişilmesi ve istenmeyen durumların oluşması hepimizin baş korkusu

    YanıtlaSil
    Yanıtlar
    1. Konu neden ilgisini çekti bilmem. Bloga yazıyor ya artık herşeyi okumaya başladı :) Ama ben de memnun oldum riskleri bilinmesi gerekli bir konu zoom app konusu.

      Sil
  8. Whatsapp görüntülü arama çıkardığından beri skypeı bile sildim . Çok iyi değil ama bence idare eder. Zoom pabucunu dama atar mı bilmem :)

    YanıtlaSil
    Yanıtlar
    1. Ben de skype kullanmıyorum zaten sadece eş dostla görüşüyorum fazla detaya gerek yok whatsapp iş görüyor.

      Sil
  9. Bu uygulamayı bilmiyordum. Sevgili Ada'nın detaylı anlatımı sayesinde epey bilgi sahibi oldum. Teşekkür ederim :)

    YanıtlaSil
  10. Bizimkiler de bu programı kullanıyor. Ama dere bulandı artık. Sanırım başka bir programa geçecekler.

    YanıtlaSil
    Yanıtlar
    1. Alternatifi nedir bilemedim hiç bu tarz programlar kullanmadım. Ama okul ve işyerleri için de pratik oluyordur konferans görüşmesi.

      Sil
  11. Bu sıralar çok yaygın kullanılmaya başladı gerçekten.
    Ama bazı güvenlik açıklarının olması şüphe uyandırıyor.Öğretmenler kullanmaya başlamışlardı ama şimdi vazgectiler burada da..
    Ada' ya teşekkür ederiz bu kadar kapsamlı bir araştırma yapıp bizi bilgilendirdiği için😊

    YanıtlaSil
    Yanıtlar
    1. Ben teşekkür ederim. O kadar çok riskli programlar var ki haberimiz olmadan kullandığımız. Tehlikeleri düşünmek bile istemiyorum.

      Sil
  12. hiç duymamıştım iyi oldu bahsettiğin..

    YanıtlaSil
    Yanıtlar
    1. Oğlum sayesinde oldu. İngilizce yazısı hoşuma gidince bu blogda da paylaşmak istedim. SOnuçta çoğumuzu ilgilendiren bir konu :)

      Sil
  13. Zoom kullanılan bilgisayarda daha önce banka hesaplarına girdiyseniz o bilgiye de erişebilebiliyor diye bir bilgi duydum. Zumba için Zoom uygulamasını kullanıyorum. Ada'nın bu konuda da bilgisi var mı acaba?
    Bu güzel ve ayrıntılı yazı için de çok teşekkür ederim :)

    YanıtlaSil
    Yanıtlar
    1. Şifrene dikkat et canım. Sadece zoom için bir şifre kullan ve arada değiştir 🥰

      Sil
Daha yeni Daha eski