WhatsApp, dünyanın en popüler mesajlaşma servisleri arasında yer alıyor. Şifrelenmiş sohbet imkanı sunması da platformun en güçlü özelliklerinden biri olarak ön plana çıkıyor. Ancak İngiliz gazetesi The Guardian’da yayınlanan yeni bir makale, servisin şifreleme sistemindeki yeni bir zayıflığı gözler önüne serdi.
Söz konusu zayıflık, şirketin devletlere bir “arka kapı” açtığı şeklinde yorumlandı. Bu yorumlar üzerine fazla zaman kaybetmeden bir açıklama yapan WhatsApp, devletlere sistemlerine arka kapıdan erişme izni vermediğinin ve böyle bir izin talep eden bir devletle de sonuna kadar savaşacağının altını çizdi.
The Guardian’ın makalesinde bahsedilen açığın güvenlik uzmanları tarafından uzun süredir bilindiği belirtildi. Şirketin bu açığı örtbas etmeye yönelik herhangi bir girişiminin olmadığının da altı çizildi. Ancak açığın varlığı, güvenlik ve kullanıcıların talepleri arasında bir denge kurmanın zorluğunu gözler önüne seriyor.
The Guardian’da yer alan makalede, bu açıktan faydalanan gelişmiş bir saldırıyı WhatsApp’ın mevcut şifreleme sisteminin durduramayabileceği belirtiliyor. Saldırganların servisin sunucusuna erişmeleri durumunda zorla mesajları şifrelemekte kullanılan anahtarları sıfırlayabileceğine dikkat çekiliyor. Saldırganların bir aktarma noktası kurarak taraflar arasında gelecekte gönderilecek mesajlara müdahale edebileceği de dikkat çeken noktalar arasında bulunuyor.
Şifreleme anahtarlarındaki değişiklikten mesajın alıcısının haberdar olmayacağını belirten The Guardian, göndericiye de sadece “güvenlik bildirimlerini göster” ayarını aktive ettiği takdirde bilgi verileceğine dikkat çekiyor. Sunucu erişimi gerektirdiği için bu tarz bir saldırıyı gerçekleştirmenin çok kolay olduğu ifade edilse de, yetenekli bir korsanın bu açıktan faydalanabileceği veya mahkemelerin bu yöntemle WhatsApp’tan kendi güvenliğini aşmasını isteyebileceği belirtiliyor.
Söz konusu açıkta kriptografiden ziyade uyarılarla ilgili görünüyor. Örneğin, aynı şifreleme altyapısını kullanan Signal’ın benzer bir saldırıya açık olmadığı belirtiliyor. Eğer Signal’ın istemcisi yeni bir anahtar kullanıldığını fark ederse, güvensiz biçimde göndermek yerine mesajı engelliyor. WhatsApp ise her koşul altında mesajı gönderiyor. Anahtar uyarısı pek çok kullanıcıda kapalı olduğu için bu durumun oluşturduğu riskin farkına varılmıyor.
Bu tartışmalı bir seçim olsa da, WhatsApp’ın daha gevşek bir tutumu tercih etmek adına haklı sebepleri bulunuyor. Sağlam bir güvenliği tesis etmek de oldukça zor bir iş. Anahtar düzensizlikleri meydana geldiğinde her uygulama buna farklı bir şekilde karşılık veriyor. WhatsApp da Signal ile aynı tutumu takınarak sorunu çözebilir.
WhatsApp daha popüler bir uygulama olmanın bedelini ödüyor
Ancak servisin Signal’a kıyasla çok daha geniş bir kullanıcı kitlesinin bulunduğunu ve bu kitlenin Signal kullanıcıların güvenlik adına verdiği tavizleri vermeye yanaşmayabileceğini söylemek gerekiyor. Servisin kullanıcılarının önemli bir kısmının şifrelemeden dahi bihaber olduğu göz önüne alınınca geniş bir kitleye ulaşmak adına bazen bir “taviz” verilmesine şaşırmamak gerekiyor.
Bu durum kullanışlılık ve güvenlik arasında tuhaf bir zıtlığın doğmasına sebep oluyor. Kitlesel gözetim konusunda hassas kişi ve gruplar, şifrelemenin ancak varsayılan olması durumunda değerli olduğunu belirtiyor. Söz konusu topluluk, aksi vaziyette dünyanın iletişiminin önemli bir kısmının müdahaleye açık olmayı sürdüreceğini savunuyor. Ancak pek çok kullanıcının da karmaşık giriş sistemlere pek de sıcak bakmadığı biliniyor. Dolayısıyla varsayılan şifrelemenin gözle görülür olması gerekiyor. Aksi vaziyette kullanıcılar ultra güvenlikli alternatifler yerine daha az koruma sunan daha basit çözümlere yöneliyor. WhatsApp, şifrelemeyi çok kolay hâle getirmenin de çok zor hâle getirmek kadar tehlikeli olabileceğini öğreniyor gibi görünüyor.
Teknoblog’u X, Flipboard, Google Haberler ve Instagram‘da takip et!
