Güvenlik

Zoom sizi kandırıyor: Vaat edilen şifreleme sistemde yok

Yazı:  | 

Koronavirüs sebebiyle #evdekal çağrısına uyanlar ağırlıklı olarak Zoom ile video konferans yapıyorlar. Ancak çok kişiyi aynı anda buluşturması, akıcı ve kaliteli görüntü ve ses iletimi yapması ile tercih edilen uygulamanın şifreleme konusunda yalan söylediği ortaya çıktı.

Web sitesinde ve teknik dokümanında uçtan uca şifreleme (end-to-end encryption) yaptığını belirten uygulamanın sadece taşıma katmanı üzerinde şifreleme (TLS) yaptığını belirten uzmanlar, yazılımın içerikleri dinleyebileceği konusunda uyardılar.

Bir Zoom sözcüsü, The Intercept’in konu hakkındaki sorularını yanıtlarken “Uçtan uca şifreleme şu anda Zoom görüntülü görüşmeleri için mümkün değil. Zoom video konferansları TCP ve UDP kombinasyonunu kullanıyor, TCP bağlantıları TLS, UDP bağlantıları ise AES ile şifreleniyor, bu şifreler de TLS bağlantısı üzerinden paylaşılıyor” dedi.

TLS teknoloji, web sitelerinin HTTPS protokolünü şifrelemede kullanılıyor. Bu uçtan uca şifreleme olarak kabul edilmiyor, zira Zoom görüşmelerinizin video ve ses içeriklerine ulaşabiliyor. Uçtan uca şifreleme, literatürde aracı şirketin de şifreleme anahtarlarına sahip olmadığı, dolayısıyla içeriklere ulaşamadığı durumlarda kullanılıyor.

Şifreli görüşme destekleyen en güvenli video konferans yazılımları

Uzmanlar, video görüşmeler için uçtan uca şifrelemenin Zoom’un kullandığından daha fazla mekanizmayla gerçekleştirildiğini belirtirken, Zoom’daki yazışmaların ise uçtan uca şifrelendiğini söylüyorlar.

Facebook, Google ve Microsoft gibi şirketler kendi yazılımlarındaki içeriklere yönelik devletlerden gelen talepleri saydamlık raporu ile paylaşıyorlar. Zoom ise bu tip bir rapor paylaşmıyor. Şirket sözcüsü, bu konuyla ilgili olarak şöyle yorum yaptı: “Zoom, yasal sorumluluklara ve müşterilerinin yasal sorumluluklarına uygun davranmaktadır. Hizmet sözleşmesine aykırı durumlarda kanun otoriteleriyle çalışmakla yükümlüdür.”

Şirket, The Intercept‘e ayrıca IP adresi, işletim sistemi ve cihaz bilgisi gibi sadece hizmeti sunmak için gerken verilerin toplandığını, Zoom çalışanları dahil hiçkimsenin görüşme verilerine ulaşamadığını, bu verilerin işlenmediğini ve satılmadığını belirtti.