Gectiğimiz gun Toronto Universitesi Munk Kuresel İlişkiler Okulu'nda bulunan Citizen Lab, butun dunyanın uzaktan calışma sistemine gecmesiyle fazlasıyla kullanılmaya başlayan Zoom hakkında carpıcı bir gerceği ortaya cıkarmıştı. Citizen Lab’in yaptığı araştırmayla Zoom’un cağrıları Cin uzerinden yonlendirdiği gerceği gun yuzune cıkmıştı.
Citizen Lab’in ortaya cıkardığı bu gercek hakkında Zoom’dan bir acıklama geldi. Bu noktada Zoom tarafından yapılan acıklamaya gecmeden once Citizen Lab’in yaptığı araştırmayı kısaca ozetleyelim. Citizen Lab, dun yayınladığı araştırmada Kuzey Amerika uzerinden yapılan bazı cağrıların ve bu cağrıları guvene almanın yolu olan şifre anahtarlarının Cin uzerinden yonlendirildiğini detaylı bir şekilde paylaşmıştı.
[h=2]Zoom, cağrıların Cin uzerinden yonlendirildiği kabul etti:[/h]
Citizen Lab’in paylaştığı bilgilerle birlikte Zoom’un bu anahtarlara erişiminin olduğu ve dolayısıyla istediği cağrıya erişebileceği de boylece ortaya cıkmıştı. Zoom, cağrılara yetkisiz kişilerin girmesini onlemek icin guclu onlemler aldığını soylese de bu anahtarların Cin uzerinden gecişi, kullanıcıların gizliliğini tehlikeye atıyordu.
Bugun Zoom tarafından gelen acıklamadaysa şirketin gercekten de cağrıları Cin sunucuları uzerinden yonlendirdiği gerceği kabul edildi. Zoom, yoğun talebi karşılamak icin sunucularını genişletmek istediğini ve yanlışlıkla iki Cinli veri merkezinin cağrıları internet yoğunluğu sırasında alabileceğini onayladıklarını soyledi.
Zoom’da yapılan cağrılar normal şartlarda hangi bolgeden yapılıyorsa o bolgenin sunucusu uzerinden yapılıyor. Yani Kuzey Amerika’da yapılan cağrılar Kuzey Amerika’da, Avrupa’da yapılan cağrılar da Avrupa’da kalıyor. Fakat bazı şirketlerin Cin’e karşı olan hassasiyeti, Zoom’un son hatası yuzunden şirkete karşı kullanılabilir oldu.
[h=2]Yonlendirme nasıl yapılıyordu?[/h]
Zoom, bu işlem sırasında ses ve videoyu gondermek icin standart protokolu izlemek yerine kendi transfer protokolunu izliyordu. Zoom’un bu politikası, Citizen Lab’in keşiflerine gore RTP standardının bir uzantısıydı. Zoom’un protokolu, kendi şifreleme şemasını RTP standardına olağan dışı bir yolla ekliyordu.
Normalde her kullanıcının ses ve videosu tek bir AES-128 anahtar uzerinden kullanıcılar arasında şifrelenerek ve deşifre edilerek gonderiliyordu. AES anahtarı, yalnızca Zoom sunucularında bulunan ve o toplantıda yer alan katılımcılar arasında dağıtılıyordu.
Zoom’un şifreleme ve deşifrelemesi, AES’i ECB modunda kullanıyordu ancak bu durum Zoom icin kotu bir yontemdi. Zira bu şifreleme modu, girdi uzerinde bazı ipucları bırakıyordu (Yukarıdaki gorselde gorulen ipucları gibi). Bu tarz platformlar icin gunumuzde onerilen şifreleme yontemiyse AES anahtarlarının ‘Segmented Integer Counter Mode’ ya da ‘f8-mode’ modları uzerinden kullanımıydı.
Zoom uzerinde bir test yapan Citizen Lab, cağrıda bulunan AES-128 anahtarının Pekin'de bir katılımcıya gonderildiğini gordu. Bir tarama gercekleştiren ekip, Cin ve ABD’de aynı Zoom sunucu yazılımının calıştığı sunucuları keşfetti. Buna gore Cin’de 5 adet sunucu, ABD’dekiyle aynı yazılımı paylaşıyordu. Bu da anahtarların bu sunucular arasında paylaşıldığından şuphe edilmesine yol acmıştı.
Zoom, Cağrıların Bir Kısmının Cin Uzerinden Yonlendirildiğini İtiraf Etti
Bilim ve Teknoloji0 Mesaj
●24 Görüntüleme
- ReadBull.net
- Teknoloji Forumları
- Bilim ve Teknoloji
- Zoom, Cağrıların Bir Kısmının Cin Uzerinden Yonlendirildiğini İtiraf Etti