WhatsApp gruplarında tehlike

Asus ZenFone 2 Türkiye’ye geldi
9 Mart 2019
LinkedIn’e yeni başlayanlara 10 öneri
10 Mart 2019

Yaklaşık iki sene önce uygulamaya uçtan uca şifreleme özelliği getiren WhatsApp, dijital iletişim mahremiyeti kavramında çıtayı önemli ölçüde yükseltmişti.

Geçtiğimiz günlerde Zürih’te gerçekleşen Real World Crypto Güvenlik Konferansı’na katılan Ruhr Üniversitesi’nden bir grup araştırmacı, aralarında WhatsApp, Signal ve Threema gibi uygulamaların da bulunduğu bir sıra kriptolu mesajlaşma uygulamasında tespit ettikleri güvenlik açıklarını paylaştı. Signal ve Threema’da bulunan açıklar nispeten zararsız olsa da araştırmacılar WhatsApp’ın güvenliğinde çok daha önemli boşluklar tespit etti. Ekip, WhatsApp sunucularını denetim eden herhangi birinin, grup yöneticisine bile ayrım ettirmeden gruba yeni kişiler ekleyebileceğini  söylüyor.

Bu durum araştırmanın makalesinde, “Davetsiz üye grubun bütün yeni mesajlarına erişim imkanı bulup okuduğunda grubun gizliliği ortadan kalkıyor. Hem grup konuşmalarında hem de ikili konuşmalarda uçtan uca şifreleme olması, konuşmaya yeni bir üye eklemenin yasak olması anlamına gelmeli. Eğer öyle değilse kriptolamanın pek de bir anlamı yok gibi duruyor.” şeklinde ifade ediliyor.

Saldırgan gönderilen mesajları denetim edebiliyor

Alman araştırmacılar, tespit edilen WhatsApp açığının basit bir hatadan kaynaklandığını söylüyor. Normalde sadece WhatsApp grubunun yöneticisi olan kişi gruba yeni üyeler ekleyebilir ama açık yüzünden sunucu, yöneticiye hiç ayrım ettirmeden gruba yeni üyeler ekleyebiliyor. Böylece gizlice eklenen kişi gruptaki bütün katılımcıların telefon numarası ve mesajlarına erişim imkanı buluyor.

Normalde WhatsApp grubuna yeni bir üye katıldığında gruptaki herkese bildirim gider. Eğer grup yöneticisi grubu yakından takip ediyorsa grubu katılan davetsiz misafirle ve sahte çağrı mesajıyla ilgili uyarabilir. Fakat Ruhr Üniversitesi araştırmacıları ve Kriptografi Profesörü Matthew Green, saldırganın ayrım edilmesini geciktirmenin birkaç hilesi olduğunu söylüyor. WhatsApp sunucusunun kontrolünü elinde tutan bir saldırgan gruba girdiğinde, kişi sunucuyu gruptaki herhangi bir mesajı engelleyecek şekilde de kullanabilir. Örneğin gruba yeni gelen kişiyle ilgili sorulan soruları veya uyarıları dönem dışı bırakabilir.

Araştırmacı Paul Rösler, “Saldırgan bütün mesajları denetim ederek hangi mesajın kime gönderileceğini veya gönderilmeyeceğini denetim edebilir. Birden çok yönetici bulunan gruplarda ele geçirilen sunucu, her bir yöneticiye farklı sahte mesajlar gönderilecek şekilde denetim edilebilir. Bu da yöneticilerin gruba yeni dahil olan saldırganın diğer bir yönetici tarafından eklendiğini düşünmelerine neden olabilir.” diyor.

İlginizi Çekebilir...

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir