Yaklaşık iki yıl evvel uygulamaya uçtan uca şifreleme özelliği getiren WhatsApp, dijital irtibat mahremiyeti kavramında çıtayı kıymetli ölçüde yükseltmişti.
Geçtiğimiz günlerde Zürih’te gerçekleşen Real World Crypto Güvenlik Konferansı’na katılan Ruhr Üniversitesi’nden bir küme araştırmacı, ortalarında WhatsApp, Signal ve Threema üzere uygulamaların da bulunduğu bir dizi kriptolu iletileşme uygulamasında tespit ettikleri güvenlik açıklarını paylaştı. Signal ve Threema’da bulunan açıklar nispeten zararsız olsa da araştırmacılar WhatsApp’ın güvenliğinde çok daha değerli boşluklar tespit etti. Takım, WhatsApp sunucularını denetim eden rastgele birinin, küme yöneticisine bile fark ettirmeden kümeye yeni bireyler ekleyebileceğini söylüyor.
Bu durum araştırmanın makalesinde, “Davetsiz üye kümenin bütün yeni bildirilerine erişim imkanı bulup okuduğunda kümenin kapalılığı ortadan kalkıyor. Hem küme konuşmalarında hem de ikili konuşmalarda uçtan uca şifreleme olması, konuşmaya yeni bir üye eklemenin yasak olması manasına gelmeli. Şayet o denli değilse kriptolamanın pek de bir manası yok üzere duruyor.” halinde söz ediliyor.
Saldırgan gönderilen bildirileri denetim edebiliyor
Alman araştırmacılar, tespit edilen WhatsApp açığının kolay bir kusurdan kaynaklandığını söylüyor. Olağanda yalnızca WhatsApp kümesinin yöneticisi olan kişi kümeye yeni üyeler ekleyebilir ama açık yüzünden sunucu, yöneticiye hiç fark ettirmeden kümeye yeni üyeler ekleyebiliyor. Böylelikle gizlice eklenen kişi kümedeki bütün iştirakçilerin telefon numarası ve iletilerine erişim imkanı buluyor.
Olağanda WhatsApp kümesine yeni bir üye katıldığında kümedeki herkese bildirim masraf. Şayet küme yöneticisi kümesi yakından takip ediyorsa kümesi katılan davetsiz konukla ve uydurma davet bildirisiyle ilgili uyarabilir. Lakin Ruhr Üniversitesi araştırmacıları ve Kriptografi Profesörü Matthew Green, saldırganın fark edilmesini geciktirmenin birkaç hilesi olduğunu söylüyor. WhatsApp sunucusunun denetimini elinde tutan bir saldırgan kümeye girdiğinde, kişi sunucuyu kümedeki rastgele bir iletisi engelleyecek biçimde de kullanabilir. Örneğin kümeye yeni gelen şahısla ilgili sorulan soruları yahut ihtarları devre dışı bırakabilir.
Araştırmacı Paul Rösler, “Saldırgan bütün iletileri denetim ederek hangi iletinin kime gönderileceğini yahut gönderilmeyeceğini denetim edebilir. Birden fazla yönetici bulunan kümelerde ele geçirilen sunucu, her bir yöneticiye farklı geçersiz iletiler gönderilecek biçimde denetim edilebilir. Bu da yöneticilerin kümeye yeni dahil olan saldırganın diğer bir yönetici tarafından eklendiğini düşünmelerine sebep olabilir.” diyor.