Facebook’un sahibi olduğu anlık mesajlaşma uygulaması WhatsApp’ta şifreli mesajların okunabilmesine yol açan bir açık bulundu.
İngiliz The Guardian gazetesinin özel haberine göre; özel hayatın gizliliği konusunda çalışma yürüten aktivistlerin tepkisini çeken söz konusu bu açık, California Üniversitesi’nden güvenlik araştırmacısı ve şifreleme uzmanı Tobias Boelter tarafından keşfedildi.
WhatsApp’ın kullandığı uçtan uça şifreleme sistemi, emsalsiz güvenlik anahtarları üretimine yaslanıyor. Bu sistem, Open Whisper Systems şirketi tarafından geliştirildi ve kullanıcılar arasında, iletişimin güvenli olması ve üçüncü bir kişi tarafından engellenememesi garantisiyle satılıyor.
Fakat WhatsApp’ın, offline kullanıcılar için de yeni şifreleme anahtarı üretmeye zorlayan bir yapısı var. Ve bu işlem mesajın göndericisi ve alıcısının bilgisi dışında gerçekleşiyor.
Bu yapı nedeniyle göndericinin ‘teslim edildi’ olarak işaretlenmemiş mesajları, yeni şifreleme anahtarlarıyla tekrar şifrelenmek durumunda bırakılıyor ve kullanıcının bilgisi dışında yeni şifreleme anahtarıyla tekrar gönderiliyor.
Mesajın alıcısı şifrelemedeki bu değişiklikten haber edilmiyor. Mesajın göndericisi ise sadece ayarlar içinden şifreleme uyarılarını etkinleştirmesi halinde ve yalnızca mesaj tekrar gönderildikten sonra durumdan haberdar oluyor. Ve bu yeniden şifreleme ve yeniden gönderme, WhatsApp’ın kullanıcı mesajlarını ele geçirip okuyabilmesine olanak sağlıyor.
“İSTENİRSE KONUŞMALAR HÜKÜMETLERE VERİLEBİLİR”
Guardian’a konuşan Boelter, “Eğer bir hükümet, WhatsApp’tan mesaj kayıtlarını talep ederse, şirket, anahtarlarındaki değişiklik sayesinde efektif bir şekilde mesajları erişime açabilir” dedi.
Boelter, bu güvenlik açığını Nisan 2016’da Facebook’a ilettiğini ve kendisine Facebook’un konudan haberdar olduğu bilgisi iletildiğini ifade etti. Facebook, Boelter’a verdiği yanıtta, “bunun ‘normal bir çalışma rutini’ olduğunu ve bu nedenle de üzerinde aktif olarak çalışılmadığını” belirtti. Guardian gazetesi ise söz konusu açığın hâlâ giderilmediğini yazdı.
Söz konusu açık, Signal protokolünün kendisinde var olan bir sorun değil. Eski CIA uzmanı Edward Snowden tarafından önerilen Open Wisper Systems’ın mesajlaşma uygulaması Signal, aynı açıktan mustarip değil. Kullanıcı çevrimdışıyken güvenlik anahtarını değiştirirse, örneğin; gönderilen bir mesaj teslim edilmiyor ve gönderici otomatik olarak mesaj tekrar gönderilmeden bu değişiklikten haberdar ediliyor.
WhatsApp’ın uygulamasında ise teslim edilmeyen mesaj, kullanıcıya önceden bildirilmeden ya da kullanıcının mesajı engellemesine olanak tanımadan, otomatik olarak yeni bir şifreyle tekrar gönderiliyor.
Boelter, konuya ilişkin demecinde şunları aktardı: “Bazıları bu zaafiyetin tüm konuşmanın değil, ‘tek’ hedeflenen mesajları izlemek için suistimal edilebileceğini söyleyebilir. Ancak bu, WhatsApp server’ının ‘mesaj alıcı tarafından alındı’ bildirimini (çift tik) göndermeden mesajları iletebildiği düşünülürse, hiç de doğru değil. WhatsApp, yeniden iletim zaafiyetini kullanarak, sonradan, sadece tek bir mesajı değil, tüm konuşmanın transkriptini alabilir.”
