Geçen yıl bir yazımızda, Whatsapp’ın kayıt altına alınacağına dair bir kaç yıldır ortada gezen mesajın sahte olduğunu, uçtan uca haberleşme yani bu kişiden, şu kişiye haberleşme olduğu için de kayıt altına alınmadığını yazmıştık. Bir anlamda “Whatsapp Güvenlidir” demiştik [1].
O yazıda söylediklerimiz hala geçerli ama dikkati çekmek istediğimiz bir başka husus var. 3 gün önce Zürih’teki “Real World Crypto Security” Konferansında, Alman Ruhr Üniversitesinden bir grup güvenlik araştırmacısı Whatsapp, Signal ve Threema mesajlaşma sistemlerine yönelik uyarıda bulundular. Araştırmacıların ortaya koyduğu bir açık, kişisel haberleşmeyi değilse de, bu mesajlaşma sistemlerinin grup haberleşmesinin güvenlik sorunu olduğunu gösteriyor.
Ruhr Üniversitesi araştırmacıları, Signal ve Theema açıklarını nispeten daha zararsız olarak değerlendiriyorlar. Ama Whatsapp için daha önemli güvenlik boşlukları bulunduğu ve grup konuşmalarına dışarıdan sızma riski olduğu bilgisi veriliyor. Daha önce, Whatsapp sunucularında herhangi bir kayıt alınmadığını, konuşmaların her 2 uçta saklandığını belirtmiştik. Whatsapp 2 sene önce, kullanıcılarının güvenliğini korumak için “uçtan-uca şifreleme” getirdiğinde, dijital güvenlik çıtasını yukarı taşımıştı. Ancak birileri WhatsApp sunucularına –şirketin bilgisi dahilinde ya da değil– sızarsa [2], özel grup yöneticisi farkında bile olmadan, başkalarını gruba sokabilecekleri belirtiliyor. Yani bu tür bir sızma ile grupta konuşulanlar takip edilebilir hale geliyor.
Ruhr Üniversitesi araştırmacılardan Paul Rösler bunu ifade ediyor :
“Grubun gizliliği, davetsiz üyenin tüm yeni mesajları alıp okuyabildiği anda biter. 2 kişi ya da grup iletişimi için uçtan uca şifreleme olduğunu duyarsam, bu yetkisiz üyelerin eklenmesine karşı korunma anlamına da gelmelidir. Aksi takdirde; uçtan-uca şifrelemenin değeri çok azalır.”
Alman araştırmacılar WhatsApp grup sorununun basit bir hatadan kaynaklandığını söylüyorlar. Grup sohbetine üyeleri ancak grup yöneticisi davet edebiliyor. Ama bu sırada sunucunun kendisi için herhangi bir kimlik doğrulama mekanizması bulunmuyormuş. Dolayısıyla sunucu, yöneticinin bilmediği bir kişiyi gruba üye olarak ekleyebilir ve gruptaki her katılımcının telefonu ve arkasından sohbetin gizli anahtarları otomatik olarak paylaşılır. Bu üye –eklenme öncesi mesajlar değilse de–eklendikten sonra gruba gelen her mesajı görmeye başlar. Araştırmacıların keşfettiği açık, hackerların sızmasına ya da baskıcı bir hükümetin talebiyle Whatsapp’ın bizzat kendisinin gruplara giriş sağlaması anlamına gelebilir.
Gruptakiler, bu izinsiz yeni üyenin katıldığını görebiliyor. Yönetici dikkatli ise, grup üyelerini izinsiz üye hakkında uyarabilir. Ama değilse, sızan kişi adeta gizli mikrofon yerleştirmiş gibi olur.
Ruhr Üniversitesi araştırmacıları ayrıca bu yeni gelenin tespiti geciktirmek için kullanılabileceği birkaç numara olduğuna işaret ediyorlar. WhatsApp sunucusunun kontrolüne sahip olan saldırgan grup sohbetine sızdıktan sonra, sunucuyu, girişi ile ilgili soru soran ya da uyarı yayınlayan mesajları bloklayacak şekilde yönlendirebilir.
Rösler şöyle ekliyor;
“Bütün mesajları önbelleğe alabilir ve sonra kime gönderileceğine, kime gönderilmeyeceğine karar verebilir” diyor. Birden çok yöneticiye sahip gruplarda, ele geçirilen sunucu ile, her bir yöneticiye farklı mesajlar gönderebilir ve diğer yöneticinin bu izinsiz dinleyiciyi davet ettiği izlenimi yaratabilir. “
Whatsapp ise bu konuda “bir gruba ekleme olduğunda, herkes yeni bir kişinin katıldığını görüyor. Görmese bile er ya da geç birisi grupta farklı birisinin olduğunu görür.” diyerek savunuyor. Ruhr Üniversitesi araştırmacıları ise, Whatsapp’ı geçtiğimiz haziran ayında uyardıklarını belirtiyorlar. Whatsapp cevap olarak, bu açığın “teorik” olduğunu söylemiş.
Teorik olsa bile önemli. Günümüzde Whatsapp özellikle açık halde konuşulamayan konular için elverişli bir haberleşme platformu olduğu ve grupların çoğunlukla hassas konuları paylaştıkları düşünülürse, önemli bir açık. Rösler, Whatsapp’ın hükümetlerle uyumlu gitmek istemesi durumunda, bu özelliği, baskıcı hükümetlerin ajanlarına kullandırabileceğine dikkat çekiyor.
Sonuç olarak, Whatsapp’ın açığı düzeltmesi için yapması gereken sadece sunucunun yeni birini ilave etmesi durumunda kimlik doğrulama yapması. Sadece grup yöneticisinin davet yapması, davetsiz gelenleri engelleyebilmesi lazım. Ama Whatsapp tarafında henüz bir harekete geçiş yok.
Bu nedenle gruplarınıza dikkatle bakın. Özellikle de yöneticilerin ve çoklu yöneticilerin grup üyelerini gözden geçirmesinde yarar var. Ya da sadece 2’li konuşmaları yapın, grup konuşmalarına boşverin.