WhatsApp’ın yeni güvenlik açığı “arka kapı” yerine “taviz” olarak değerlendirilebilir

whatsappWhatsApp, dünyanın en popüler mesajlaşma servisleri arasında yer alıyor. Şifrelenmiş sohbet imkanı sunması da platformun en güçlü özelliklerinden biri olarak ön plana çıkıyor. Ancak İngiliz gazetesi The Guardian’da yayınlanan yeni bir makale, servisin şifreleme sistemindeki yeni bir zayıflığı gözler önüne serdi.

Söz konusu zayıflık, şirketin devletlere bir “arka kapı” açtığı şeklinde yorumlandı. Bu yorumlar üzerine fazla zaman kaybetmeden bir açıklama yapan WhatsApp, devletlere sistemlerine arka kapıdan erişme izni vermediğinin ve böyle bir izin talep eden bir devletle de sonuna kadar savaşacağının altını çizdi.

The Guardian’ın makalesinde bahsedilen açığın güvenlik uzmanları tarafından uzun süredir bilindiği belirtildi. Şirketin bu açığı örtbas etmeye yönelik herhangi bir girişiminin olmadığının da altı çizildi. Ancak açığın varlığı, güvenlik ve kullanıcıların talepleri arasında bir denge kurmanın zorluğunu gözler önüne seriyor.

The Guardian’da yer alan makalede, bu açıktan faydalanan gelişmiş bir saldırıyı WhatsApp’ın mevcut şifreleme sisteminin durduramayabileceği belirtiliyor. Saldırganların servisin sunucusuna erişmeleri durumunda zorla mesajları şifrelemekte kullanılan anahtarları sıfırlayabileceğine dikkat çekiliyor. Saldırganların bir aktarma noktası kurarak taraflar arasında gelecekte gönderilecek mesajlara müdahale edebileceği de dikkat çeken noktalar arasında bulunuyor.

Şifreleme anahtarlarındaki değişiklikten mesajın alıcısının haberdar olmayacağını belirten The Guardian, göndericiye de sadece “güvenlik bildirimlerini göster” ayarını aktive ettiği takdirde bilgi verileceğine dikkat çekiyor. Sunucu erişimi gerektirdiği için bu tarz bir saldırıyı gerçekleştirmenin çok kolay olduğu ifade edilse de, yetenekli bir korsanın bu açıktan faydalanabileceği veya mahkemelerin bu yöntemle WhatsApp’tan kendi güvenliğini aşmasını isteyebileceği belirtiliyor.

Söz konusu açıkta kriptografiden ziyade uyarılarla ilgili görünüyor. Örneğin, aynı şifreleme altyapısını kullanan Signal’ın benzer bir saldırıya açık olmadığı belirtiliyor. Eğer Signal’ın istemcisi yeni bir anahtar kullanıldığını fark ederse, güvensiz biçimde göndermek yerine mesajı engelliyor. WhatsApp ise her koşul altında mesajı gönderiyor. Anahtar uyarısı pek çok kullanıcıda kapalı olduğu için bu durumun oluşturduğu riskin farkına varılmıyor.

Bu tartışmalı bir seçim olsa da, WhatsApp’ın daha gevşek bir tutumu tercih etmek adına haklı sebepleri bulunuyor. Sağlam bir güvenliği tesis etmek de oldukça zor bir iş. Anahtar düzensizlikleri meydana geldiğinde her uygulama buna farklı bir şekilde karşılık veriyor. WhatsApp da Signal ile aynı tutumu takınarak sorunu çözebilir.

WhatsApp daha popüler bir uygulama olmanın bedelini ödüyor

Ancak servisin Signal’a kıyasla çok daha geniş bir kullanıcı kitlesinin bulunduğunu ve bu kitlenin Signal kullanıcıların güvenlik adına verdiği tavizleri vermeye yanaşmayabileceğini söylemek gerekiyor. Servisin kullanıcılarının önemli bir kısmının şifrelemeden dahi bihaber olduğu göz önüne alınınca geniş bir kitleye ulaşmak adına bazen bir “taviz” verilmesine şaşırmamak gerekiyor.

Bu durum kullanışlılık ve güvenlik arasında tuhaf bir zıtlığın doğmasına sebep oluyor. Kitlesel gözetim konusunda hassas kişi ve gruplar, şifrelemenin ancak varsayılan olması durumunda değerli olduğunu belirtiyor. Söz konusu topluluk, aksi vaziyette dünyanın iletişiminin önemli bir kısmının müdahaleye açık olmayı sürdüreceğini savunuyor. Ancak pek çok kullanıcının da karmaşık giriş sistemlere pek de sıcak bakmadığı biliniyor. Dolayısıyla varsayılan şifrelemenin gözle görülür olması gerekiyor. Aksi vaziyette kullanıcılar ultra güvenlikli alternatifler yerine daha az koruma sunan daha basit çözümlere yöneliyor. WhatsApp, şifrelemeyi çok kolay hâle getirmenin de çok zor hâle getirmek kadar tehlikeli olabileceğini öğreniyor gibi görünüyor.

Squid Game Netflix’e bütçesinin 41 kat fazlasını getirdi

Netflix içeriklerinin başarılı olarak kabul edilmesini sağlayan veya yayından kaldırılmalarına neden olan kesin izleme sayılarını paylaşma konusunda ilk günden bu yana çok ketum davranıyor....

App Store Türkiye ücretlerine kur artışı nedeniyle zam geliyor

Apple geçtiğimiz cuma günü Developer, yani geliştirici sitesi üzerinden yaptığı açıklamada, "vergiler veya döviz kurları değiştiğinde, bazen belirli bölgelerde App Store'daki fiyatları güncellememiz ve/veya...

FIFA EA’in futbol oyunlarındaki hakimiyetinden rahatsız

EA sahip olduğu lisanslar sayesinde futbol oyunları pazarında ciddi bir avantaja sahip. Bu durumdan rahatsız olan sadece EA'in rakipleri değil gibi görünüyor. Eurogamer sitesinin...

iPhone 13 Pro İncelemesi

Apple geçen yıl olduğu gibi bu yıl da dört farklı iPhone modeliyle tüketicilerin karşısına çıktı. Bunlardan ikisi "normal" olarak nitelendirebileceğimiz; ekran, işlemci, pil, yazılım...

Kaliteli ve bilgilendirici teknoloji videoları için
Teknoblog YouTube kanalına abone olun