Zoom, Davetlerin Çin Üzerinden Yönlendirildiğini Kabul Etti

Geçtiğimiz gün Toronto Üniversitesi Munk Global Bağlar Okulu'nda bulunan Citizen Lab, bütün dünyanın uzaktan çalışma sistemine geçmesiyle ziyadesiyle kullanılmaya başlayan Zoom hakkında çarpıcı bir gerçeği ortaya çıkarmıştı. Citizen Lab’in yaptığı araştırmayla Zoom’un davetleri Çin üzerinden yönlendirdiği gerçeği gün yüzüne çıkmıştı.

Citizen Lab’in ortaya çıkardığı bu gerçek hakkında Zoom’dan bir açıklama geldi. Bu noktada Zoom tarafından yapılan açıklamaya geçmeden evvel Citizen Lab’in yaptığı araştırmayı kısaca özetleyelim. Citizen Lab, dün yayınladığı araştırmada Kuzey Amerika üzerinden yapılan birtakım davetlerin ve bu davetleri inanca almanın yolu olan şifre anahtarlarının Çin üzerinden yönlendirildiğini ayrıntılı bir formda paylaşmıştı.

Zoom, davetlerin Çin üzerinden yönlendirildiği kabul etti:

Citizen Lab’in paylaştığı bilgilerle birlikte Zoom’un bu anahtarlara erişiminin olduğu ve hasebiyle istediği davete erişebileceği de böylelikle ortaya çıkmıştı. Zoom, davetlere yetkisiz şahısların girmesini önlemek için güçlü tedbirler aldığını söylese de bu anahtarların Çin üzerinden geçişi, kullanıcıların kapalılığını tehlikeye atıyordu.

Bugün Zoom tarafından gelen açıklamadaysa şirketin sahiden de davetleri Çin sunucuları üzerinden yönlendirdiği gerçeği kabul edildi. Zoom, ağır talebi karşılamak için sunucularını genişletmek istediğini ve ezkaza iki Çinli data merkezinin davetleri internet yoğunluğu sırasında alabileceğini onayladıklarını söyledi.

Zoom’da yapılan davetler olağan kurallarda hangi bölgeden yapılıyorsa o bölgenin sunucusu üzerinden yapılıyor. Yani Kuzey Amerika’da yapılan davetler Kuzey Amerika’da, Avrupa’da yapılan davetler da Avrupa’da kalıyor. Ama birtakım şirketlerin Çin’e karşı olan hassasiyeti, Zoom’un son yanlışı yüzünden şirkete karşı kullanılabilir oldu.

Yönlendirme nasıl yapılıyordu?

Zoom, bu süreç sırasında ses ve görüntüyü göndermek için standart protokolü izlemek yerine kendi transfer protokolünü izliyordu. Zoom’un bu siyaseti, Citizen Lab’in keşiflerine nazaran RTP standardının bir uzantısıydı. Zoom’un protokolü, kendi şifreleme şemasını RTP standardına olağan dışı bir yolla ekliyordu.

Olağanda her kullanıcının ses ve görüntüsü tek bir AES-128 anahtar üzerinden kullanıcılar ortasında şifrelenerek ve deşifre edilerek gönderiliyordu. AES anahtarı, sırf Zoom sunucularında bulunan ve o toplantıda yer alan iştirakçiler ortasında dağıtılıyordu.

Zoom’un şifreleme ve deşifrelemesi, AES’i ECB modunda kullanıyordu lakin bu durum Zoom için berbat bir usuldü. Çünkü bu şifreleme modu, girdi üzerinde kimi ipuçları bırakıyordu (Yukarıdaki görselde görülen ipuçları gibi). Bu üslup platformlar için günümüzde önerilen şifreleme sistemiyse AES anahtarlarının ‘Segmented Integer Counter Mode’ ya da ‘f8-mode’ modları üzerinden kullanımıydı.

Zoom üzerinde bir test yapan Citizen Lab, davette bulunan AES-128 anahtarının Pekin'de bir iştirakçiye gönderildiğini gördü. Bir tarama gerçekleştiren takım, Çin ve ABD’de tıpkı Zoom sunucu yazılımının çalıştığı sunucuları keşfetti. Buna nazaran Çin’de 5 adet sunucu, ABD’dekiyle birebir yazılımı paylaşıyordu. Bu da anahtarların bu sunucular ortasında paylaşıldığından kuşku edilmesine yol açmıştı.