Guardian gazetesi 2 gün önce WhatsApp güvenliği ile ilgili bir yazı yayınlayınca, birden Whatsapp’ın güvenliği tekrar söz konusu olmaya başladı ama bu yeni bir konu değil. WhatsApp hayatımıza ilk girdiği günden itibaren insanlar, “WhatsApp Güvenli mi?” sorusunu bize yönelttiler. Bunun bir nedeni de, telefonların dinlenmesi ve artık çok lafı edilmese de, insanların bu dinlemelerden rahatsız olmaladır. Biz de kendilerine ilk günden bu yana hep aynı basmakalıp cevabı verdik ; “Sizin sorduğunuz anlamdan daha derinde bir konu bu ve özetle Güvenli Değil”.
Bunu söylememizin nedenleri
- WhatsApp sonuçta birileri tarafından işletiliyor (Facebook). Haberleşme uçtan-uca kapalı halde (encypted) gönderiliyor bile olsa, bunun anlamı mesajlarınızın bir şekilde bir sistemden ya da sunucudan geçiyor olmasıdır. Eğer gerekiyorsa, bu sunucuya erişimi olan (örneğin şirketin elemanları ya da ABD hükümeti) birileri mesajlarınızı görebilir.
- Bilişim sistemlerinde her zaman açık (vulnerability) çıkar. Bu bazen kısa zamanda anlaşılır, bazen de anlaşılamayabilir. Bu arada mesajlarınız sızabilir.
idi. Nitekim Guardian yazısına bakarsanız, bunların ikisi birden işaret ediyor. Sonuçta internet üzerinde haberleşme yapıyorsanız ya da bir şeyleri okuyor, yazıyorsanız, yaptığınız her hareketin izlenebilir olduğunu unutmamalısınız.
WhatsApp, Open Whisper System tarafından geliştirilmiş güçlü bir güvenlik protokolü kullanıyor. Ancak University of California, Berkeley’de bir şifreleme ve güvenlik araştırmacısı olan Tobias Boelter tarafından keşfedilen bir açık için şunlar belirtiliyor; “Bir hükümet kuruluşu, WhatsApp’dan mesajlaşma kayıtlarını açıklamasını isteseydi, anahtarlardaki ufak bir değişiklikle, erişim izni alabilirdi”. Bunu teknolojiden halk diline tercüme edersek; “WhatsApp arka kapı taşıyor”.
Berkeley’de kriptografi ve güvenlik konularında araştırmacı olan Tobias Boelter tarafından Nisan 2016’da fark edildi. Boelter, iki kişinin uçtan uca şifrelemeyi kullanarak gizli kalmasını sağladığı mesajlaşmalarının bazı durumlarda dışarıdan okunabildiğini söylüyor. Buna göre, şifrelenmiş bir mesaj karşı tarafın telefonu çevrimdışı olduğu sırada gönderildiğinde, söz konusu iki kişinin karşılıklı olarak önceden doğruladığı güvenlik anahtarı otomatik olarak değişiyor. Bu değişiklik sayesinde mesajlar dışarıdan okunabiliyor.Açığı keşfeden Boelter “Eğer bir hükümet kurumu WhatsApp’tan mesajlaşma kayıtlarını isterse, anahtarlardaki bu değişiklik sayesinde mesajlara erişim sağlayabilir” dedi.
Yeni Numara Arka Kapı mı
Snowden 2013 yılında Amerikan hükümetinin 9 internet firmanının kayıtlarına doğrudan ulaşabildiğini dökümanlarla ortaya koyduğundan bu yana yeni bir gelişme var; bir çok donanım ya da yazılım (sosyal network) firmasının sistemlerinde “Arka Kapı” olarak tanımlanacak açıklar çıkıyor. Bu açıklar genellikle bu işin peşine düşen bir güvenlikçi tarafından keşfedilidiğinde, firma “özür dileriz, ne zaman olmuş bilmiyoruz” türünden bir açıklama yayınlıyor.
[1] Whatsapp Mesajlarınizi Silseniz de, Sunuculardan Silinmiyor