Yaklaşık iki yıl evvel uygulamaya uçtan uca şifreleme özelliği getiren WhatsApp, dijital irtibat mahremiyeti kavramında çıtayı değerli ölçüde yükseltmişti.
Geçtiğimiz günlerde Zürih’te gerçekleşen Real World Crypto Güvenlik Konferansı’na katılan Ruhr Üniversitesi’nden bir küme araştırmacı, ortalarında WhatsApp, Signal ve Threema üzere uygulamaların da bulunduğu bir dizi kriptolu iletileşme uygulamasında tespit ettikleri güvenlik açıklarını paylaştı. Signal ve Threema’da bulunan açıklar nispeten zararsız olsa da araştırmacılar WhatsApp’ın güvenliğinde çok daha değerli boşluklar tespit etti. Grup, WhatsApp sunucularını denetim eden rastgele birinin, küme yöneticisine bile fark ettirmeden kümeye yeni şahıslar ekleyebileceğini söylüyor.
Bu durum araştırmanın makalesinde, “Davetsiz üye kümenin bütün yeni bildirilerine erişim imkanı bulup okuduğunda kümenin saklılığı ortadan kalkıyor. Hem küme konuşmalarında hem de ikili konuşmalarda uçtan uca şifreleme olması, konuşmaya yeni bir üye eklemenin yasak olması manasına gelmeli. Şayet o denli değilse kriptolamanın pek de bir manası yok üzere duruyor.” halinde söz ediliyor.
Saldırgan gönderilen iletileri denetim edebiliyor
Alman araştırmacılar, tespit edilen WhatsApp açığının kolay bir yanılgıdan kaynaklandığını söylüyor. Olağanda yalnızca WhatsApp kümesinin yöneticisi olan kişi kümeye yeni üyeler ekleyebilir ancak açık yüzünden sunucu, yöneticiye hiç fark ettirmeden kümeye yeni üyeler ekleyebiliyor. Böylelikle gizlice eklenen kişi kümedeki bütün iştirakçilerin telefon numarası ve bildirilerine erişim imkanı buluyor.
Olağanda WhatsApp kümesine yeni bir üye katıldığında kümedeki herkese bildirim sarfiyat. Şayet küme yöneticisi kümesi yakından takip ediyorsa kümesi katılan davetsiz konukla ve uydurma davet bildirisiyle ilgili uyarabilir. Ama Ruhr Üniversitesi araştırmacıları ve Kriptografi Profesörü Matthew Green, saldırganın fark edilmesini geciktirmenin birkaç hilesi olduğunu söylüyor. WhatsApp sunucusunun denetimini elinde tutan bir saldırgan kümeye girdiğinde, kişi sunucuyu kümedeki rastgele bir iletisi engelleyecek biçimde de kullanabilir. Örneğin kümeye yeni gelen şahısla ilgili sorulan soruları yahut ihtarları devre dışı bırakabilir.
Araştırmacı Paul Rösler, “Saldırgan bütün iletileri denetim ederek hangi bildirinin kime gönderileceğini yahut gönderilmeyeceğini denetim edebilir. Birden fazla yönetici bulunan kümelerde ele geçirilen sunucu, her bir yöneticiye farklı geçersiz iletiler gönderilecek biçimde denetim edilebilir. Bu da yöneticilerin kümeye yeni dahil olan saldırganın öbür bir yönetici tarafından eklendiğini düşünmelerine sebep olabilir.” diyor.
Bir yanıt bırakın