skip to Main Content

Zoom Güvenli mi sorusu son zamanlarda iyice yaygınlaşan video konferans talebiyle daha da fazla gündeme gelmeye başladı.

Dünyanın dört bir yanında uygulanan sosyal mesafe ve karantina önlemleriyle, insanlar hızla etkili iletişim araçları aramaya başladılar. Zoom’un kanıtlanmış kullanım kolaylığı ve cazip fiyatı ile Zoom hızla popülerlik kazandı, ancak insanlar Zoom geliştiricilerinin incelemeleri için tam olarak hazırlanmadığını keşfetti. Çok fazla kullanılınca, Zoom’un eksik olduğu noktalar hızla ortaya çıktı. Şirket, iş yükündeki muazzam artışı sorunsuz bir şekilde aştı ve güvenlik araştırmacılarının bulguları üzerinde hızla harekete geçti. Ancak, herhangi bir hizmette olduğu gibi, kod güncellemeleri her şikayeti kapsamaz, ancak bazı sorunlar akılda bulundurulmaya değer.

Zoom

Bu makalede, Zoom kullanıcıları için 10 güvenlik ve gizlilik ipucunu açıklayacağız.

Hesabınızı koruyun

Zoom hesabı aynı diğer hesaplarınız gibidir ve hesabınızı oluştururken temel hesap korumaları uygulamanız gerekir. Güçlü ve benzersiz bir şifre kullanın ve hesabınızı, hesap verileriniz sızdırılmış olsa bile (ve daha önce hiçbir şey olmamışsa) hesabınızın saldırıya uğramasını ve daha iyi korunmasını sağlayan iki faktörlü kimlik doğrulama ile hesabınızı koruyun. Zoom’a özgü en az bir güvenlik önlemi daha vardır: Kaydolduktan sonra, oturum açma adınıza ve şifrenize ek olarak bir Kişisel Toplantı Kimliği alırsınız. Bu kimlik kodunu başkalarıyla paylaşmaktan kaçının. Bu Kişisel Toplantı Kimlik Kodu ile halka açık toplantılar oluşturma olanağı sunduğundan, Zoom’a sızmak çok kolaydır. Kodunuz sızarsa, bu kodu bilen herkes yaptığınız herhangi bir sohbete katılabilir. Bu nedenle, bu bilgileri dikkatlice paylaşmak çok önemlidir.

Zoom’a kaydolmak için iş e-postanızı kullanın

Bu yazma sırasında henüz düzeltilmemiş olan Zoom’daki ilginç bir güvenlik açığı, aynı etki alanına sahip e-postaların –@gmail.com veya yahoo.com gibi yaygın olarak kullanılan bir etki alanı adı değilse – bir ve bu gruptaki iletişim bilgileri, şirketin her bir üyeyle paylaşılmasına neden olur. Örneğin, bu, Kazakistan’da genel bir e-posta hizmeti olan @ yandex.kz ile biten e-posta adreslerini kullanarak Zoom hesaplarını açan kullanıcılara oldu ve bu, daha küçük e sağlayan daha küçük etki alanlarıyla oluşturulan e-posta adreslerinde tekrar olabilir -posta hizmetleri.

Bu nedenle, Zoom’a kaydolmak için iş e-postanızı kullanın. İşletmenizin iletişim bilgilerini gerçek iş arkadaşlarınızla paylaşmak sizin için sorun olmamalı. Bir işletme e-postanız yoksa, kişisel iletişim bilgilerinizi gizli tutmak için iyi bilinen, herkese açık bir alan kullanın.

Sahte Zoom uygulamalarına karşı dikkatli olun

Kaspersky güvenlik araştırmacısı Denis Parinov, bu Mart ayında Webex, GoToMeeting ve Zoom gibi popüler video konferans hizmetlerinin adlarını içeren kötü amaçlı dosya sayısının, geçen yıldan bu yana aydan beri bulduğu rakamlara göre ortalama üç kat arttığını açıkladı. Bu, saldırganların Zoom ve diğer benzeri uygulamaların popülaritesine bağlı olarak kötüye kullanımlarını artıracağı ve kötü amaçlı yazılımları video konferans istemcileri olarak gizlemeye çalışacağı anlamına gelir.

Dikkatli olun! Zoom’u Mac’inize ve PC’nize güvenle indirmek için resmi web sitesini (zoom.us) kullanın ve mobil cihazlarınız için App Store’u veya Google Play’i kullanın.

Konferans bağlantılarını paylaşmak için sosyal medyayı kullanmayın

Bazen herkese açık etkinlikler yapmak istersiniz ve pek çok yerdeki çevrimiçi etkinlikler günümüzde mevcut olan tek genel etkinlik türüdür. Bu yüzden Zoom giderek daha fazla insanı kendine çekiyor. Ancak, etkinliğiniz herkese açık olsa bile, etkinlik bağlantısını sosyal medyada paylaşmaktan kaçınmalısınız.

Bu makaleyi okumadan önce Zoom hakkında bir şeyler biliyorsanız, muhtemelen Zoombombing denilen şeyi duymuşsunuzdur. Bu, Techcrunch gazetecisi Josh Constine’nin rahatsız edici içerikli Zoom konuşmalarını izleyen insanlar için bulduğu bir terimdir. Şu anda, her ikisi de trollerle popüler olan Discord ve 4Chan’deki çeşitli konuşmalarda, insanlar basacakları bir sonraki hedefi tartışıyorlar.

Peki, bu troller yaklaşan etkinlikler hakkında nereden bilgi alıyor? Doğru cevap: bu bilgiyi sosyal medyada buluyorlar. Bu nedenle, Zoom konuşmalarınızın bağlantılarını herkese açık olarak paylaşmaktan kaçının. Ancak yine de genel bir bağlantıyı herhangi bir nedenle paylaşmak istiyorsanız, Kişisel Toplantı Kimlik Kodunu Kullan seçeneğini etkinleştirmediğinizden emin olun.

Her toplantıyı bir parola ile koruyun

Arama için bir parola ayarlamak üzere, yalnızca aramanıza katılmak istediğiniz kişilerin katılabilmesini sağlamanın en iyi yolu. Yakın zamanda, Zoom iyi bir adım attı ve varsayılan olarak şifre koruması getirdi. Ancak, konuşma şifresini Zoom hesabı şifrenizle karıştırmayın. Görüşme bağlantıları gibi, konuşma şifreleri de hiçbir zaman sosyal medyada veya diğer genel ağlarda paylaşılmamalıdır. Aksi takdirde, aramalarınızı trollerden korumak için gösterdiğiniz tüm çabalar boşa gidecektir.

Bekleme Odasını Etkinleştir

Görüşmelerde size daha fazla kontrol sağlayan ve son zamanlarda varsayılan olarak etkinleştirilen bir başka ayar olan Bekleme Odası özelliği, görüşmeci her katılımcıyı onaylayana kadar katılımcıları bir “bekleme odasında” tutar. Bu, birisi şifreye erişmiş olsa bile, katılmaması gereken çağrıya kimlerin katılabileceğini ve katılamayacağını denetleme yetkisi verir. Bu özellik ayrıca istenmeyen bir kişiyi konuşmadan bekleme odasına atmanızı sağlar. Bu nedenle, bekleme odası kutusunu işaretli olarak bırakmanızı öneririz.

Ekran paylaşma özelliklerine dikkat edin

Her normal video konferans uygulaması, bir katılımcının ekranlarını başkalarıyla paylaşmasına olanak tanıyan bir ekran paylaşma özelliği sunar ve Zoom bu uygulamalardan biridir. Bu nedenle, bazı ayarlara dikkat etmek yararlıdır:
· Ekran paylaşımını görüşmeci ile sınırlayın veya görüşmedeki herkese izin verin. Başkalarının kendi ekranlarını paylaşmasını istemiyorsanız, hangi seçeneği seçeceğinizi bilirsiniz;
Birden fazla katılımcının ekranlarını aynı anda paylaşmasına izin verin. Toplantılarınızın neden bu özelliğe ihtiyaç duyacağını hemen göremiyorsanız, büyük olasılıkla bu özelliğe asla ihtiyacınız olmayacaktır. Ancak, etkinleştirmeniz gerekiyorsa, bu özelliğin göz önünde bulundurulması yararlı olacaktır.

Mümkünse Web istemcisine bağlı kalın

Çeşitli Zoom istemci uygulamalarının farklı güvenlik açıkları ortaya çıktı. Bazı sürümler, bilgisayar korsanlarının cihazın kamerasına ve mikrofonuna erişmesine izin verirken, bazı sürümler web sitelerinin izinleri olmadan kullanıcılara çağrı eklemesine izin verir. Zoom, yukarıda bahsedilen sorunlarla ilgili diğer benzer sorunları çözmek için hızlıydı ve kullanıcı verilerini Facebook ve LinkedIn ile paylaşmayı durdurdu. Bununla birlikte, uygun bir güvenlik değerlendirmesinin yokluğunda, Zoom uygulamalarının savunmasız olması muhtemeldir ve üçüncü taraflarla veri paylaşımı gibi işlemleri kullanabilir.
Bu nedenle, mümkünse, uygulamayı cihazınıza yüklemek yerine Zoom’un Web arayüzünü kullanmanızı öneririz. Web sürümü tarayıcısı korumalı alan etki alanında bulunur ve yüklü bir uygulamanın izinlerine sahip değildir. Bu, neden olabileceği potansiyel hasar miktarını sınırlar.
Bununla birlikte, bazı durumlarda, Web arayüzünü kullanmak isteseniz bile, Zoom’un yükleyiciyi ilerlettiğini ve indirdiğini ve istemciyi ayarlamak için toplantıya bağlanmak dışında başka bir seçenek olmadığını görebilirsiniz. Bu durumda, Zoom’un yüklü olduğu cihaz sayısını en az biriyle sınırlandırabilirsiniz. Yükleyeceğiniz cihazın yedek bir akıllı telefon veya yedek bir dizüstü bilgisayar olması. Kişisel bilgileri olmayan bir cihaz seçin. Biraz paranoyak gibi gelebilir, ancak daha sonra üzülmek yerine güvenliği geride bırakmak en iyisidir.
Bu arada, şirketiniz daha önce Lync olarak bilinen Skype Kurumsal’ı zaten kullanıyorsa, başka bir seçeneğiniz vardır. Skype Kurumsal, Zoom ile uyumludur ve yukarıda belirtilen sorunlar olmadan Zoom konferans görüşmelerini de yapabilir.

Zoom’un uçtan uca şifreleme reklamlarına inanmayın

Zoom sadece fiyatları ve özellik setiyle değil, aynı zamanda ürünün uçtan uca şifrelemesini başlattığı için de pazar payı kazandı. Uçtan uca şifreleme ile, sizinle aradığınız kişiler arasındaki tüm iletişim, yalnızca siz ve görüşmedeki kişilerin şifresini çözebilecek şekilde şifrelenir. Servis sağlayıcılar da dahil olmak üzere diğer tüm tarafların şifresi çözülemez.
Kulağa hoş gelse de, güvenlik araştırmacılarının işaret ettiği gibi neredeyse imkansız. Zoom durumunda, diğer uç Videonun şifreli olduğu anlamına gelen Zoom sunucusu anlamına gelir, ancak Zoom çalışanları ve potansiyel kolluk kuvvetleri erişime sahiptir. Sohbetlerdeki mesajlar gerçekten uçtan uca şifreli görünüyor. Diğer popüler video konferans hizmetleri de uçtan uca şifrelemede olmadığı için şifreleme eksikliği Zoom’u kullanmayı bırakmanın bir nedeni değildir. Bu nedenle, kişisel veya ticari sırları Zoom üzerinde tartışmaktan kaçınmalısınız.

İnsanların neler görebileceğini veya duyabileceğini düşünün

Bu, yalnızca Zoom için değil, tüm video konferans hizmetleri için geçerlidir. Röportaja başlamadan önce, katıldığınızda insanların görecek veya duyacaklarını düşünün. Evde yalnız olsanız bile, görüşeceğiniz insanlar dışarı çıkmış gibi giyinmenizi bekleyebilir. Temel bakım muhtemelen iyi bir fikir olsa da, ekranınızı paylaşmayı planlıyorsanız, aynı şey ekranınız için de geçerlidir.

Bu nedenle, Zoom’u arayan veya patronunuzun bilmediği bir iş arama yapan biri için internetten sürpriz bir hediye almış olsanız da, başkalarının görmesini istemediğiniz pencereleri kapatın. Hayal gücünüze başkalarının görmesini istemeyeceğiniz başka örnekler de veriyoruz.

Zoom Güvenilir mi? Güvenlik Ayarları Nelerdir?

Kendinizi izole etmek sıkıcı ve yalnız hissedebilirsiniz. Biraz da olumlu tarafından bakmak lazım, geniş bant, video konferansı ve birçok insan uzaktan çalışma fırsatı bulmadan önce hayatın nasıl olduğunu düşünün. Zoom gibi uygulamalara sahip olmaktan mutluluk duyuyoruz ve şimdi uygulamayı nasıl doğru kullanacağınızı biliyorsunuz.

Zoom Güvenlik Açığı Bülteni

ZSBTarihBaşlıkönemCVE (varsa)
ZSB-2102212/14/2021Windows için Keybase İstemcisinde keyfi komut yürütmeOrtaCVE-2021-34426
ZSB-2102112/14/2021Toplantılar için Zoom İstemci sohbetinde Sunucu Tarafı Sahtecilik İsteğiOrtaCVE-2021-34425
ZSB-2102024.11.2021Zoom Client ve diğer ürünlerde bellek maruziyetini işlemeOrtaCVE-2021-34424
ZSB-2101924.11.2021Zoom Client ve diğer ürünlerde arabellek taşmasıYüksekCVE-2021-34423
ZSB-2101811/09/2021Windows için Keybase Client’ta dosya adlarının yol geçişiYüksekCVE-2021-34422
ZSB-2101711/09/2021Android ve iOS için Keybase istemcilerinde tutulan patlatılmış mesajlarDüşükCVE-2021-34421
ZSB-2101611/09/2021Yakınlaştır Windows kurulumu yürütülebilir imza atlamasıOrtaCVE-2021-34420
ZSB-211511/09/2021Zoom Linux istemcisinde HTML enjeksiyonuDüşükCVE-2021-34419
ZSB-2101411/09/2021Şirket içi web konsolunda ön-auth Null işaretçisi çökmesiOrtaCVE-2021-34418
ZSB-2101311/09/2021MMR’de web konsolu aracılığıyla kök ayrıcalıklarıyla kimliği doğrulanmış uzaktan komut yürütmeYüksekCVE-2021-34417
ZSB-2101230.09.2021Webportal aracılığıyla Şirket İçi Görüntülere Karşı Uzaktan Kod YürütmeOrtaCVE-2021-34416
ZSB-2101130.09.2021Birçok ayırmaya neden olan bir PDU kullanarak ZC çökmesiYüksekCVE-2021-34415
ZSB-2101030.09.2021Webportal ağ proxy yapılandırması aracılığıyla Meeting Connector sunucusuna karşı Uzaktan Kod YürütmeOrtaCVE-2021-34414
ZSB-2100930.09.2021Zoom MacOS Outlook Eklenti Yükleyici Yerel Ayrıcalık YükseltmeDüşükCVE-2021-34413
ZSB-2100830.09.2021Windows Installer Yerel Ayrıcalık Yükseltmesi için YakınlaştırOrtaCVE-2021-34412
ZSB-2100730.09.2021Zoom Rooms Yükleyici Yerel Ayrıcalık YükseltmeOrtaCVE-2021-34411
ZSB-2100630.09.2021Microsoft Outlook (MacOS) Yükleyici Kök Uygulama Ayrıcalık Yükseltme için Yakınlaştırma EklentisiOrtaCVE-2021-34410
ZSB-210530.09.2021Zoom İstemci Yükleyici Yerel Ayrıcalık YükseltmeYüksekCVE-2021-34409
ZSB-2100430.09.2021Yakınlaştır MSI Yükleyici Bir Bağlantı Kullanarak Yükseltilmiş YazmaYüksekCVE-2021-34408
ZSB-2100330.09.2021Windows Yakınlaştırma Yükleyici Dijital İmza AtlamaYüksekCVE-2021-33907
ZSB-2100213.08.2021XMPP mesajından statik arabellek denetlenmeyen yazmadan yığın taşmasıYüksekCVE-2021-30480
ZSB-210103/26/2021Uygulama Penceresi Ekran Paylaşımı İşlevselliğiOrtaCVE-2021-28133
ZSB-2000208/14/2020Yakınlaştırma Paylaşım Hizmetinde Windows DLLYüksekCVE-2020-9767
ZSB- 200105/04/2020Windows için Yakınlaştır BT YükleyiciYüksekCVE-2020-11443
ZSB-1900307/12/2019ZoomOpener arka plan programıYüksekCVE-2019-13567
ZSB-1900207/09/2019Varsayılan Video AyarıDüşükCVE-2019-13450
ZSB-1900107/09/2019Hizmet reddi saldırısı – MacOSDüşükCVE-2019-13449
ZSB-1800130.11.2018Yetkisiz Mesaj İşlemeYüksekCVE-2018-15715
https://explore.zoom.us/en/trust/security/security-bulletin/