Cumartesi, Aralık 14, 2019
No Result
View All Result
Türk İnternet
  • Ana sayfa
  • Araştırma
  • Etkinlik
  • Kim Nerede?
  • Şirket Haberleri
  • Ürün Tanıtımı
  • Hakkımızda
No Result
View All Result
  • Ana sayfa
  • Araştırma
  • Etkinlik
  • Kim Nerede?
  • Şirket Haberleri
  • Ürün Tanıtımı
  • Hakkımızda
No Result
View All Result
Türk İnternet
No Result
View All Result
Ana Sayfa İnternet Teknolojileri Anlık Mesajlaşma

Whatsapp Grup Konuşmalarına Yetkisiz Üye Ekleme Yapılabiliyor

turk-internet.com Haber Merkezi - turk-internet.com Haber Merkezi
7 Ekim 2018
- Anlık Mesajlaşma, Günlük Haberler, Hacker - Siber Saldırı, Veri Sızıntıları
0
Whatsapp Grup Konuşmalarına Yetkisiz Üye Ekleme Yapılabiliyor
5.5k
GÖRÜNTÜLENME
Facebook'ta PaylaşTwitter'da Paylaş

Geçen yıl bir yazımızda, Whatsapp’ın kayıt altına alınacağına dair bir kaç yıldır ortada gezen mesajın sahte olduğunu, uçtan uca haberleşme yani bu kişiden, şu kişiye haberleşme olduğu için de kayıt altına alınmadığını yazmıştık. Bir anlamda “Whatsapp Güvenlidir” demiştik [1].

O yazıda söylediklerimiz hala geçerli ama dikkati çekmek istediğimiz bir başka husus var. 3 gün önce Zürih’teki “Real World Crypto Security” Konferansında, Alman Ruhr Üniversitesinden bir grup güvenlik araştırmacısı Whatsapp, Signal ve Threema mesajlaşma sistemlerine yönelik uyarıda bulundular. Araştırmacıların ortaya koyduğu bir açık, kişisel haberleşmeyi değilse de, bu mesajlaşma sistemlerinin grup haberleşmesinin güvenlik sorunu olduğunu gösteriyor.

Ruhr Üniversitesi araştırmacıları, Signal ve Theema açıklarını nispeten daha zararsız olarak değerlendiriyorlar. Ama Whatsapp için daha önemli güvenlik boşlukları bulunduğu ve grup konuşmalarına dışarıdan sızma riski olduğu bilgisi veriliyor. Daha önce, Whatsapp sunucularında herhangi bir kayıt alınmadığını, konuşmaların her 2 uçta saklandığını belirtmiştik. Whatsapp 2 sene önce, kullanıcılarının güvenliğini  korumak için “uçtan-uca şifreleme” getirdiğinde, dijital güvenlik çıtasını yukarı taşımıştı.  Ancak birileri WhatsApp sunucularına –şirketin bilgisi dahilinde ya da değil–  sızarsa [2],  özel grup yöneticisi farkında bile olmadan, başkalarını gruba sokabilecekleri belirtiliyor. Yani bu tür bir sızma ile grupta konuşulanlar takip edilebilir hale geliyor.

Ruhr Üniversitesi araştırmacılardan Paul Rösler bunu ifade ediyor :

“Grubun gizliliği, davetsiz üyenin tüm yeni mesajları alıp okuyabildiği anda biter. 2 kişi ya da grup iletişimi için uçtan uca şifreleme olduğunu duyarsam, bu yetkisiz üyelerin eklenmesine karşı korunma anlamına da gelmelidir.  Aksi takdirde; uçtan-uca şifrelemenin değeri çok azalır.”

Alman araştırmacılar WhatsApp grup sorununun basit bir hatadan kaynaklandığını söylüyorlar. Grup sohbetine üyeleri ancak grup yöneticisi davet edebiliyor. Ama bu sırada sunucunun kendisi için herhangi bir kimlik doğrulama mekanizması bulunmuyormuş. Dolayısıyla sunucu, yöneticinin bilmediği bir kişiyi gruba üye olarak ekleyebilir ve gruptaki her katılımcının telefonu ve arkasından sohbetin gizli anahtarları otomatik olarak paylaşılır. Bu üye –eklenme öncesi mesajlar değilse de–eklendikten sonra gruba gelen her mesajı görmeye başlar.  Araştırmacıların keşfettiği açık, hackerların sızmasına ya da baskıcı bir hükümetin talebiyle Whatsapp’ın bizzat kendisinin gruplara giriş sağlaması anlamına gelebilir.

Gruptakiler, bu izinsiz yeni üyenin katıldığını görebiliyor. Yönetici dikkatli ise, grup üyelerini izinsiz üye hakkında uyarabilir. Ama değilse, sızan kişi adeta gizli mikrofon yerleştirmiş gibi olur.

Ruhr Üniversitesi araştırmacıları ayrıca bu yeni gelenin tespiti geciktirmek için kullanılabileceği birkaç numara olduğuna işaret ediyorlar. WhatsApp sunucusunun kontrolüne sahip olan saldırgan grup sohbetine sızdıktan sonra,  sunucuyu, girişi ile ilgili soru soran ya da uyarı yayınlayan mesajları bloklayacak şekilde yönlendirebilir.

Rösler şöyle ekliyor;

“Bütün mesajları önbelleğe alabilir ve sonra kime gönderileceğine, kime gönderilmeyeceğine karar verebilir” diyor. Birden çok yöneticiye sahip gruplarda, ele geçirilen sunucu ile, her bir yöneticiye farklı mesajlar gönderebilir ve diğer yöneticinin bu izinsiz dinleyiciyi davet ettiği izlenimi yaratabilir. “

Whatsapp ise bu konuda “bir gruba ekleme olduğunda, herkes yeni bir kişinin katıldığını görüyor. Görmese bile er ya da geç birisi grupta farklı birisinin olduğunu görür.” diyerek savunuyor. Ruhr Üniversitesi araştırmacıları ise, Whatsapp’ı geçtiğimiz haziran ayında uyardıklarını belirtiyorlar. Whatsapp cevap olarak, bu açığın “teorik” olduğunu söylemiş.

Teorik olsa bile önemli. Günümüzde Whatsapp özellikle açık halde konuşulamayan konular için elverişli bir haberleşme platformu olduğu ve grupların çoğunlukla hassas konuları paylaştıkları düşünülürse, önemli bir açık. Rösler, Whatsapp’ın hükümetlerle uyumlu gitmek istemesi durumunda, bu özelliği, baskıcı hükümetlerin ajanlarına kullandırabileceğine dikkat çekiyor.

Sonuç olarak, Whatsapp’ın açığı düzeltmesi için yapması gereken sadece sunucunun yeni birini ilave etmesi durumunda kimlik doğrulama yapması. Sadece grup yöneticisinin davet yapması, davetsiz gelenleri engelleyebilmesi lazım.  Ama Whatsapp tarafında henüz bir harekete geçiş yok.

Bu nedenle gruplarınıza dikkatle bakın. Özellikle de yöneticilerin ve çoklu yöneticilerin grup üyelerini gözden geçirmesinde yarar var. Ya da sadece 2’li konuşmaları yapın, grup konuşmalarına boşverin.

Etiketler: Anlık MesajlaşmaGrup HaberleşmesiKimlik DoğrulamaManşetPaul RöslerRuhr ÜniversitesiWhatsapp

Türk İnternet'ten buna benzer yazılar için bildirim almak ister misiniz?

ABONELİKTEN ÇIK
turk-internet.com Haber Merkezi

turk-internet.com Haber Merkezi

Turk-internet.com Haber Merkezi Türk Internet Endüstrisi Portalı, turk-internet.com, 1 Eylül 2000’de resmi yayına geçerek, iş ve Internet dünyası profesyonelleriyle buluşmuştur. Editör icin [email protected] ya da [email protected]

Lütfen yorum yapmak için giriş yapın.
Facebook Twitter LinkedIn
Türk İnternet

Turk-internet.com Haber Merkezi Türk Internet Endüstrisi Portalı, turk-internet.com, 1 Eylül 2000’de resmi yayına geçerek, iş ve Internet dünyası profesyonelleriyle buluşmuştur.

TURK-İNTERNET

  • Haber İndeksi
  • Hakkımızda
  • Gizlilik Bildirimi
  • Firmaların turk-internet.com ile Çalışabilirlik Yöntemleri
  • Destek
  • Bize Yazın

Türk İnternet'ten ilginize çekecek yazılar için bildirim almak ister misiniz?

Abone Ol

© Copyrights 2000-2018 Türk İnternet - Bu sitenin tüm hakkı turk-internet.com'a aittir.

No Result
View All Result
  • Ana sayfa
  • Araştırma
  • Etkinlik
  • Kim Nerede?
  • Şirket Haberleri
  • Ürün Tanıtımı
  • Hakkımızda

© Copyrights 2000-2018 Türk İnternet - Bu sitenin tüm hakkı turk-internet.com'a aittir.

Aşağıdan hesabınıza giriş yapınız

Şifremi unuttum? Kayıt Ol

Kayıt olmak için aşağıdaki formu doldurunuz

Tüm alanların doldurulması gerekiyor. Giriş yap

Şifrenizi geri alın

Lütfen şifrenizi resetlemek için kullanıcı adı veya email adresinizi girin.

Giriş yap
Bu internet sitesinde, kullanıcı deneyimini geliştirmek ve internet sitesinin verimli çalışmasını sağlamak amacıyla çerezler kullanılmaktadır. Kabul Ediyorum
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.

Necessary Always Enabled

Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

Non-necessary

Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.