Zoom'a katılırken hiç parola kullandınız mı? Muhtemelen hayır. Peki neden?

Sonraki hikaye
Tony Anscombe

Zoom toplantısına bağlanırken hiç parola girmeniz gerekti mi? Eğer girdiyseniz bilin ki Zoom kullanıcıları arasında azınlıksınız. Aslında toplantı sahibi, toplantıyı bilinçli bir şekilde kullanıcıların parola girmesi gerekecek şekilde ayarlamıştır. Peki toplantı davetiyesi ayrıntılarında bir parola varsa neden gerekli değil?

Şekil 1'de görüldüğü gibi Zoom programında bir toplantı planlarken, varsayılan olarak “açık” olan “toplantı parolası gerekli” seçeneği vardır. Zoom geçenlerde, bazı insanların yaşadığı toplantılara katılan davetsiz misafirlerin neden olduğu Zoom-bombalama sorunlarına yanıt olarak bunu varsayılan olarak “seçili” hale getirdi. Toplantıyı planlayan kişi muhtemelen toplantı katılımcılarının bağlanmak için parolaya ihtiyaç duyacağını düşünüyor. Ne de olsa, bir hizmet bir hesaba erişmek için bir parola oluşturmanızı istediğinde, normalde her giriş yaptığınızda bu parolayı sorar; parolalar genellikle böyle çalışır.

Şekil 1. Zoom artık bir toplantıyı planlarken varsayılan olarak parola gerektiriyor.
Şekil 1. Zoom artık bir toplantıyı planlarken varsayılan olarak parola gerektiriyor.

Toplantıya nasıl katılacağınıza ilişkin ayrıntıları paylaşmanız için davetlilere gönderebileceğiniz bir davet oluşturulur. Bu davet, Şekil 2'de görüldüğü gibi tarih ve saati, toplantıya katılma bağlantısını ve Toplantı Kimliği ve Parolasını içerir. Birkaç Zoom toplantısının zamanlayıcısı olarak ben hiçbir aşamada davetlilerin parolayı girmeden katılabilecekleri konusunda bilgilendirilmedim; beklentim, katılmak için parola girmek zorunda olduklarıydı.

Şekil 2. Varsayılan, rastgele bir parola ile Zoom davet e-postası.
Şekil 2. Varsayılan, rastgele bir parola ile Zoom davet e-postası.

 

Şekil 2'de “Zoom Toplantısına Katıl” davetiyedeki URL'ye dikkat edin “pwd =” parametresi ve ardından çok sayıda rastgele karakter var. Rastgele karakterler, toplantı kimliği altında gördüğünüz parolanın şifrelenmiş halidir. Normal olarak parolanın şifrelenmiş ve sade hallerinin her ikisi de gönderilen davetiyeye dahil edilir. Bu noktada parolanın gizlenmesi anlamsız ve hiçbir güvenlik önlemi sağlamıyor.

Bir sonraki adım davetiyeyi göndermektir; eğer tüm alıcılar kendi şirketinizde ise IT ekibinin kontrolünde olduğu için bu muhtemelen güvenlidir. Ancak şirket dışındaki bir alıcıya gönderilirse, e-posta içeriği halka açık ağlar arasında dolanacaktır. Buradaki iyi haber, Google'a göre gelen e-posta trafiğinin %93'ü şifreleniyor. Yani, birisi e-postayı kesecek ve parola da dahil olmak üzere toplantı ayrıntılarını alacak ise işi zor görünüyor.

Davet, katılımcının gelen kutusuna veya takvimine ulaşır. Toplantıya katılmak için yapması gereken tek şey toplantı saatinde davetiyedeki bağlantıya tıklamaktır. Davet eden, daveti yapılandırıldığı şekilde katılımcının bir parola ihtiyacı olmasını bekliyor. Parola, toplantıya bağlanmak için kullanılan kodlanmış karakter dizesinde bağlantıya gömüldüğü için toplantıya katılmak için hiçbir parola gerekmeyecektir. Parola istemenin amacı neydi o zaman?

Zoom toplantısına katılmanın diğer yolu 9 basamaklı toplantı kimliğini girmektir; bu yöntemi kullanarak bir toplantıya katılmaya çalışırsanız ve bir parola yapılandırılmış ise, parola istenir. Bu, kullanıcıların toplantı kimliğiyle parola korumalı bir toplantıya bağlanmaya çalışmalarını engeller ve böylece Zoom-bombalamanın azalmasına neden olur. Bununla birlikte, Zoom-bombacıları toplantılara bağlanmak için sürekli çalışan komut dosyaları yardımı ile kaba kuvvet kullanarak geçerli toplantı kimlikleri bulmaya çalışabilirler.

Birinin daveti bütünüyle, toplantıya katılması beklenmeyen bir kişiye iletebileceği ve şifrelenmiş parola ve gerçek parola ile bağlantıya sahip olma riski her zaman vardır. Parola bağlantıya gömülü olmasa bile, davete dahil edilir, bu nedenle yine bir güvenlik önlemi sağlamaz.

Zoom toplantılarında tarayıcı riski var mı? Bağlantı https olduğundan, tarayıcı zoom.us sunucularından şifreli iletişim isteyerek başlayacaktır; kurulduktan sonra, tam bağlantı istenir ve parola toplantı bağlantısına gömülü olduğu için gerekmez. Yine, parola hiçbir anlamı yok.

Zoom-bombalama öncelikle okullar ve öğrenciler için bir sorun; kötü niyetli insanlar çevrimiçi öğretim için video konferanslara katılıyor ve uygunsuz mesajlar ve içerikler sergiliyor. Öğrencinin cihazında, emoji veya sohbet uzantıları gibi eğlenceli bir şekilde iletişim kurmalarına olanak tanıyan başka uygulamalar veya tarayıcı uzantıları yüklenmiş olması muhtemeldir. Bir uzantı tarama geçmişini okuma iznine sahipse, uzantıyı geliştirenler gömülü parolaya sahip olan bağlantıya erişilebilir; parolayı bilmeden, kullanıcının tarayıcı geçmişi üzerinden katılabilirler.

Öğrencilerin sahip olabileceği popüler uzantılar, gömülü parolalar da dahil olmak üzere toplantı ayrıntılarınızın üçüncü taraflarla paylaşıldığı anlamına gelebilir. Bunu test etmek için Chrome Web Mağazası'na gittim ve oğlumun öğrencilerin ne kullandıklarına dair rehberliğiyle, her biri 1 milyondan fazla indirilmiş olan iki Chrome eklentisi eklemeye çalıştım. Her ikisi de “Tarama geçmişinizi okuma" izni istedi.

Şekil 3. Uzantıyı kullanmanın bedeli
Şekil 3. Uzantıyı kullanmanın bedeli

 

İstenilen izin, bu iki üçüncü taraf şirketlerin katıldığım Zoom toplantılarının bağlantıları da dahil olmak üzere tüm göz atma geçmişime erişmesini sağlar ve varsayılan olarak gömülü parolayı da alabilirler. Tarayıcıma eklemeye çalıştığım uzantıların isimlerini vermedim, çünkü ilgili şirketlerin verileri toplamak için meşru nedenleri olabilir ve güvenli bir şekilde saklıyor olabilirler. Bununla birlikte, diğer üçüncü taraflarla da paylaşıyor ve/veya doğru şekilde güvende tutmuyor olabilirler.

Toplantı Zoom'un varsayılan ayarları kullanılarak oluşturulduysa ve tekrar edecekse, parola da dahil olmak üzere davet bağlantısı, uzantı sağlayıcıları ve verileri paylaştıkları üçüncü taraflarla paylaşılabilir. Bu olasılığın toplantıyı planlayan kişi tarafından düşünüldüğünden şüpheliyim zira parolanın gerekli olacağını zannediyorlar.

Zoom “gömülü parola” özelliğini kapatma olanağı sunuyor. Ancak, bu seçenek bir toplantı oluşturulduğu sırada sunulmuyor; bunun yerine kullanıcının “Kişisel — Ayarlar” bölümündeki varsayılanları değiştirmesi gerekiyor.

Bana göre Zoom, kullanıcı varsayılan “parola gerektir” ayarını kullanarak bir toplantı oluşturduğunda, aslında herhangi bir parola girmenin gerekli olmadığı bildirimini göstermelidir.

Başka ne var?

Konu Zoom toplantılarınızı korumaya gelince göz önünde bulundurmanız gereken daha çok şey var. Zoom güvenliği: Doğru ayarlarla kullanın makalemizi de okuyun ve hizmeti daha güvenli tutmak için başka neler yapabileceğinizi öğrenin.

ESET 30 yılı aşkın süredir sizin için burada.Bu belirsiz zamanlarda da online hayatınızı korumak için burada olacağımızı bilmenizi isteriz.  

90 günlük ücretsiz sürümümüzü hemen indirin ve online güvenliğinize yönelik tehditlerden kendinizi korumaya başlayın.