WhatsApp’ta skandal güvenlik açığı

14 Ocak 2017 18:00

WhatsApp’ın mesajları şifreleme özelliğinin hiçbir değeri olmadığı ortaya çıktı.

İngiliz medya devi The Guardian’ın haberine göre, WhatsApp’ta bulunan bir güvenlik açığı, kullanıcıların şifrelenmiş mesajlarının Facebook ve diğer üçüncü partiler tarafından okunmasına imkan tanıyor. Bilindiği gibi WhatsApp bir süre önce bütün mesajlaşma protokolünü uçtan uca şifreleme ile çalışacak şekilde değiştirmişti. WhatsApp bu yeni özelliğini mesajlaşma uygulamasını bilhassa diplomatlara ve gazetecilere pazarlamak için kullanmıştı. Fakat Guardian’ın haberine göre uygulamada bulunan bir açık nedeniyle, gönderilen mesajları şifreleyen ve kimsenin görmemesi gereken “güvenlik kodlarına” üçüncü partilerin erişimi, bu sayede şifreli mesajların okunması da mümkün. Güvenlik açığı ilk olarak Kaliforniya Üniversitesi’nde şifreleme ve güvenlik üzerine araştırmacı olan Tobias Boelter tarafından 2016 Nisan ayında keşfedildi. WhatsApp’ın sahibi Facebook’la iletişime geçen Boelter, “Zaten böyle olduğunu biliyorduk; üzerinde çalıştığımız bir konu değil.” cevabını aldı. Açığın istismar edilebileceğinden emin olana kadar üzerinde çalışan Tobias Belter, sonunda The Guardian’la iletişim kurdu ve durumu anlattı.

The GuardIan, WhatsApp’ı hükümet gözetiminden kurtulmak ya da gazetecilik amacıyla kullanan kullanıcılara “derhal kullanmayı bırakın” uyarısı yaptı.

PROBLEM NE VE NASIL OLUŞTU?
WhatsApp’ın kullandığı şifreleme teknolojisi kendi icadı değil. Open Whisper Sytems’in patentli Signal teknolojisini kullanıyor, ve bahsedilen güvenlik açığı, sızıntılarıyla ünlü aktivist Edward Snowden’ın da kullanmış olduğu, yine aynı şirkete ait Signal isimli mesajlaşma uygulamasında yok. Buna göre WhatsApp’ın bu teknolojiyi entegre ederken üzerinde oynama yaptığı düşünülüyor. Durum tam olarak da böyle…

WhatsApp’ın kullandığı, Signal isimli uçtan uca şifreleme sisteminin çalışma prensibine göre, WhatsApp’tan bir mesaj gönderdiğiniz zaman, bu mesaj telefonunuzda yerel olarak şifreleniyor ve şifreyi çözebilecek geçici bir anahtar da mesajla birlikte alıcıya gönderiliyordu. Alıcının telefonu WhatsApp’ın “güvenlik kodu” dediği bu anahtarı kullanarak mesajı çözüyor ve gösteriyordu. Bu işlem gönderilen her mesaj için tekrar ediliyorken; sistemin çalışma şekline göre ise teoride şifreli mesajla birlikte gönderilen anahtarı WhatsApp dahil kimse göremiyordu. Ayrıca gönderilen anahtar geçiciydi ve alıcı bir cevap yazdığında kullanılamaz hale geliyordu.

Orijinal Signal teknolojisine göre, eğer siz ya da mesajı gönderdiğiniz alıcı internete bağlı değilseniz, mesaj bir sunucuda bekliyor; siz ya da alıcı online olduğunuzda mesaj aynı anahtarla iletiliyordu. Ayrıca alıcı ya da gönderici iletilmemiş bir mesaj için yeni bir anahtar üretirse, Signal sistemi mesajı yeniden göndermeyi denemeden önce kullanıcıları bilgilendiriyor ve onay istiyordu.

WhatsApp’ın teknoloji üzerinde yaptığı oynama ise şöyle: Henüz iletilmemiş mesajlar için WhatsApp size hiçbir bilgi vermeden yeni anahtarlar üretebiliyor.

Sorun burada başlıyor: Çünkü WhatsApp’ın bu yeni anahtarlara erişim hakkı var. Böyle bir durumda WhatsApp’ın sizi bilgilendirmek için bir seçeneği var. Ayarlar > Hesap > Güvenlik menüsüne giderek, “Güvenlik bildirimlerini göster” seçeneğini aktif ederseniz, iletilmemiş mesajlar için anahtar değiştirilip gönderme yapıldığında WhatsApp size bilgi veriyor. Fakat WhatsApp mesajı, yeni ve artık izlenebilir anahtarla yeniden göndermek için, orijinal teknolojide olduğu gibi sizden onay istemiyor, size sormadan otomatik olarak gönderebiliyor. Konuyla ilgili sadece size bilgi veriyor. Bu bilginin anlamı da şu: “Bu mesajın şifreleri artık bizim tarafımızdan çözülebilir.”

WhatsApp’ın sistemde bir oynama yaptığı zaten biliniyordu, “Ayarlar” menüsünde bir bilgilendirme seçeneği vardı ve kimse üzerinde durmamıştı. Çünkü WhatsApp’ın dökümanlarına koyduğu açıklamaya göre bu oynamanın amacı, SIM-kart ya da telefon değiştirdiğinizde, henüz iletilmemiş mesajlarınızın iletilmesini sağlamak. Fakat bu oynamanın, mesajların Facebook ve hatta talep ederlerse hükümetler tarafından okunabilecek olmaları anlamına geldiğini yaptığı çalışmalarla Tobias Boelter ortaya çıkardı.

Boelter ayrıca, “bu açık sadece anahtarı değiştirilen mesajların tek tek okunmasına değil, eğer isterlerse bütün bir sohbet geçmişinin WhatsApp tarafından çözülebileceği anlamına geliyor” dedi. Zira WhatsApp sizin onayınız olmadan kendi isteğine göre güvenlik anahtarları üretecek, orijinal teknolojide olmayan bir özgürlüğe sahip. WhatsApp ısrarla hükümetlerle işbirliği yapmadıklarını söylese de, yapabilecekleri imkana ve üzerinde oynanmış teknolojiye sahip oldukları gerçeği değişmiyor.

Bütün dünyada yankı uyandıran skandal üzerine bilişim alanında çalışan akademisyenlerden tepki yağmaya başladı. Bilgi güvenliği üzerine çalışan Profesör Kirstie Ball WhatsApp skandalını “istihbaratlar için altın madeni” diye değerlendirirken, bunun “kullanıcı güvenine büyük bir ihanet” olduğunun da altını çizdi.

Konuyla ilgili Facebook sözcüleri, “hükümetlerle işbirliği yapmıyoruz” demekten ve özelliğin telefon değiştiren kullanıcılar için olduğunu ifade etmekten başka açıklama yapmadı.

Paylaş