Whatsapp Gruplarında Görünmez Tehlike

2009 yılında piyasaya çıkan ve 2014 yılında Facebook tarafınca satın alınan Whatsapp’ın 1.5 milyarın üzerinde kullanıcısı bulunuyor ve uygulama üzerinden günde 65 milyar civarında mesaj atılıyor.

Hem sosyal hem de iş yazışmaları için artık vazgeçilmez hale gelen bu uygulamanın hacklenebildiği haberi ise 8 Ağustos günü duyuldu.

Aslında Ocak 2018’de, grup mesajlarında uçtan uca şifreleme yapılan konuşmaların güvenliği hakkında Paul Rosler, Christian Mainka, Jörg Schwenk (Ruhr-Universität Bochum) tarafınca bir araştırma yayınlanmış ve güvenlik sorunu ile ilgili derin bir analiz yapılmıştı.

Bu araştırma normal (yani çift yönlü) mesajlaşmalarda uçtan uca şifrelemenin iyi bir performans sergilediğini ancak grup mesajlarının güvenlik seviyesinde sorun olduğunu ortaya koyuyordu. Yabancıların kendilerini şifrelenmiş bir grup sohbetine katmalarının teorik olarak mümkün olduğunu ancak pratikte son derece zor olduğu için paniğe gerek olmadığı söylenmişti. (Merak edenler için; https://eprint.iacr.org/2017/713.pdf linkinden ulaşılabiliyor).

Teorik olarak mümkün olan bir şeyi pratikte gerçekleştirecek kadar motivasyonu olan birilerinin çıkması çok da uzun sürmedi ve Whatsapp grup mesajları Check Point araştırmacıları tarafınca hacklenebildi haberi 8 Ağustos yayıldı.

Hacklenebildi derken, neler yapabiliyorlar?

  1. Mesaj grubuna sizin adınıza bir mesaj atmak,
  2. Gruba atılan bir mesajın metnini değiştirmek,
  3. “Cevapla” seçeneğini kullanarak göndericinin kimliğini değiştirmek ve mesajı grupta yer almayan bir kişiden gelmiş gibi göstermek,
  4. Herhangi bir whatsapp grubunda yer alan bir kişiye atmış olduğunuz özel mesajı (direct message) sanki gruptan yazılmış gibi göstermek, cevap verildiğinde tüm grup üyelerinin atılan mesajı görmesi.

Şöyle düşünün, anneniz babanız ve sizin bulunduğunuz “aile” isimli bir Whatsapp grubu var, anneniz ile ayrıca tekil bir konuşma yapıyorsunuz ve babanızın duymaması gereken bir şey yazıyorsunuz, anneniz mesajı “aile” isimli gruptan gelmiş gibi görüyor ve size cevap yazıyor, böylece babanız da akşam Merve’lerde ders çalışmayacağınızı öğrenmiş oluyor.

Örnek anne-baba-çocuk arasında olunca çok da sıkıntı olmayabilir ama iş dünyasında da bu uygulamanın ne kadar sık kullanıldığını, bazı projelerin neredeyse Whatsapp üzerinden yönetildiğini düşündüğümüzde konu biraz daha korkutucu bir boyuta taşınabiliyor. Aslında hem özel ilişkilerimizi hem de kariyerimizi etkileyebilecek bir açık.

Sadece gönderenin ve alıcının yazılanları görebilmesi için iletileri şifreleyen Whatsapp algoritmalarını hackleyen araştırmacılar, WhatsApp iletişiminin şifresini çözerek, WhatsApp’ın web sürümü ve mobil sürümü arasında gönderilen tüm parametreleri görebildiklerini belirtmiş. Böylece değişiklik yapabilmiş ve güvenlik sorunları aramaya başlamışlar, ardından da bulunan zafiyet için Whatsapp’ı konu hakkında uyarmışlar.

Whatsapp’tan yapılan açıklamaya göre bu uyarı dikkate alınmış. Zafiyetin, uçtan uca şifreleme güvenliği ile ilgili olmadığını, açığı dikkatle incelediklerini belirten Whatsapp yetkilisi, içerik iletme konusunda bir sınırlama getirdiklerini, iletilen mesajlara bir etiket eklediklerini ve grup mesajlaşmaları için bir dizi değişiklik yapıldığını söylemiş. Whatsapp’ı spam içerikli davranışlarda bulunmak için değiştirmeye çalışan hesapları yasakladıklarını ve birkaç ülkede sivil habercilerle, sahte haber ve aldatmacalar hakkında insanları eğitmek için çalıştıklarını da belirtmişler.

Bu günlerde Whatsapp güncellemelerini takip etmekte ve mesajlaşmalara da biraz dikkat etmekte fayda var gibi görünüyor.

 

Kendi geliştirdiğiniz mobil uygulamaların güvenliğini iyileştirmenizi sağlamak amacıyla “mobil uygulama sızma testi” hizmeti veriyoruz. Bunun yanında bir iş etki analizi çalışması da günlük olarak kullandığınız Whatsapp ve benzeri uygulama ve teknolojilerde ortaya çıkması muhtemel güvenlik açıklarının işinizi nasıl etkileyebileceğini ortaya çıkartacaktır. Bu konularda görüşmek isterseniz basaranalper@gmail.com adresine bir e-posta göndermeniz yeterli.

 

 

Hits: 1836

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*