Yazar Khanh Nguyen Yen, Software Mühendisi II, OPSWAT
Arka plan
Kendi şifreleme şemalarını oluşturan birçok kuruluş ve birey vardır. Özel bir şema kullanmanın güvenlik avantajları olsa da, şemayı kullanan yazılımın çok sayıda kullanıcısı olduğunda dezavantajlar daha da artmaktadır. Zoom, kendi özel şifreleme şemasını kullanan bir şirkettir ve bu şifreleme ile ilgili ciddi bir güvenlik açığı keşfedilmiştir. Bu güvenlik açığının bir sonucu olarak, 500.000'den fazla Zoom Meeting kullanıcısının bilgileri sızdırıldı.
COVID-19 salgını nedeniyle, hükümetler yerinde sığınma emirleri uyguluyor ve bu da çalışanların evden çalışmasına neden oluyor. Etkili bir şekilde çalışmak için güvenli bir şekilde bağlantıda kalmalı ve iletişim kurmalıdırlar. Zoom, dünya çapında birçok insanın bunu yapmalarına yardımcı olmak için kullandığı bir araçtır. Aslında, birçok şirket bunu ana iletişim aracı olarak kullanıyor ve bu güvenlik açığını ciddi bir sorun haline getiriyor.
Bu neden oldu?
Nisan ayında yayınlanan bir Zoom blog yazısında Zoom, şifrelemelerini uçtan uca olarak adlandırmalarına rağmen şu anda gerçek uçtan uca şifreleme uygulamadıklarını açıklıyor. Bu terimi, cihazlar ve Zoom sunucuları arasındaki bir tür aktarım şifrelemesini tanımlamak için kullandılar. Sonuç olarak, teorik olarak Zoom, Zoom Toplantı bilgilerini sunucuya girdikten sonra şifresini çözme ve izleme yeteneğine sahiptir.
Güvenlik açığı nerede?
Zoom toplantılarının video ve ses verileri, bir Zoom sunucusu (Zoom'un bulutu) aracılığıyla tüm katılımcılara dağıtılır. Müşteriler şirket içinde ev sahipliği yapmayı seçtiklerinde, Zoom toplantıyı şifreleyen AES anahtarını oluşturur ve bu anahtara erişebilir. Toplantı sahipleri, toplantılarını sanal bekleme odalarına sahip olacak şekilde ayarlayabilir, bu da toplantı katılımcılarının bir Zoom toplantısına doğrudan erişimini engeller. Bunun yerine, katılımcılar toplantı sahibi tarafından içeri alınmak için beklemek zorundadır. ( The Citizen Lab araştırmacılarına göre). Bununla birlikte, bekleme odasındaki her kişinin toplantının şifre çözme anahtarına erişimi vardır. Dolayısıyla, kötü niyetli bir aktörün toplantının video ve ses akışına erişmek için toplantıya gerçekten katılması gerekmez.
Zoom'un şifrelemesiyle ilgili bir başka kritik güvenlik sorunu daha rapor edildi. Daha önce yayınlanan belgelere göre Zoom uygulaması toplantı içeriğini şifrelemek için AES-256 algoritması kullanıyordu. Ancak Zoom uygulaması aslında bunun yerine 128 bitlik tek bir şifreleme anahtarı kullanıyor.
Son olarak Zoom, ECB modunda AES kullanarak toplantılar sırasında tüm ses ve videoları şifreler ve şifrelerini çözer. ECB şifrelemesi önerilmez çünkü semantik olarak güvensizdir, yani ECB şifreli şifreli metni gözlemlemek düz metin hakkında bilgi sızdırabilir. ECB modu, her zaman aynı şifreli metin bloğunu veren aynı düz metin şifreleme bloğunda (8 veya 16 bayt) kullanılır. Bu, bir saldırganın ECB ile şifrelenmiş mesajların aynı olduğunu veya tekrarlayan veriler içerdiğini, ortak bir öneki veya diğer ortak alt dizeleri paylaştığını tespit etmesine olanak tanıyabilir.
Daha fazla ayrıntı için Wikipedia'da bu zayıflığın güzel bir grafiksel gösterimi bulunmaktadır
Bu şifreleme açığı CVE-2020-11500 olarak rapor edilmiştir.
Bu güvenlik açığı hakkında daha fazla bilgiye https://metadefender.opswat.com/vulnerabilities/CVE-2020-11500 adresinden ulaşabilirsiniz.
Potansiyel Etkiler
Saldırganların toplantı içeriğinin şifresini çözmesi ve kullanıcı gizliliğini ihlal etmesi daha kolay olacaktır.
OPSWAT Zoom güvenlik açığını nasıl tespit ediyor?
OPSWAT teknolojileri, kuruluştaki bu güvenlik açığına sahip tüm uç noktaları izleyebilir.
MetaDefender Access, CVE-2020-11500 Zoom güvenlik açığına sahip cihazları tespit edebilir ve düzeltme talimatları sağlayabilir.
İyileştirme
Zoom'u her zaman güncel tutmanız şiddetle tavsiye edilir.
Referanslar
https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Electronic_Codebook_(ECB)
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
