Whatsapp’ın Uçtan Uca Şifrelenmiş Mesajları Okunabiliyor

Whatsapp’ın Uçtan Uca Şifrelenmiş Mesajları Okunabiliyor

Whatsapp'daki açık, uygulamanın sahibi Facebook tarafından da kabul edildi.

12541
1
PAYLAŞ

Facebook tarafından 2014 yılında 16 milyar dolara satın alınan popüler mesajlaşma uygulaması Whatsapp, 2016 Nisan ayında uçtan uca şifreleme özelliğini kullanıma sunmuştu. Whatsapp böylece artık yazışmaların yeni bir algoritmayla şifrelendiğini, güvenli iletişim kurulabileceğini açıklamıştı. Ancak Whatsapp’ın bu uçtan uca şifreleme algoritmasında bulunan bir açığın (backdoor) hackerların şifrelenmiş mesajları okumasına ve engellemesine izin verdiği tespit edildi.

Pek çok kullanıcı uçtan uca şifrelemenin özel verileri gizlemek için en iyi yol olduğuna inanıyor ki bu doğru bir inanış. Ancak şifreleme doğru şekilde yapılmamışsa verileriniz tehlikeye girer.

Bilindiği gibi Whatsapp geçen yıl uçtan uca şifreleme tekniğinin varsayılan olarak kullanılacağını tanıtmıştı.Böylece dünya çapındaki bir milyardan fazla kullanıcı sayısı ile Whatsapp’ın dünyanın en büyük güvenli mesajlaşma platformu haline geldiği düşünülüyordu.

Ancak, Whatsapp’daki iletişiminizin şirketin sahibi Facebook’ta dahil tüm gözlerden saklandığını düşünüyorsanız çoğu insan gibi yanılıyorsunuz.

whatsapp backdoor
Whatsapp’taki backdoor, şifreli mesajların okunmasına sebep oluyor

Şifreli mesajlarımız da okunuyor mu?

Whatsapp gibi uçtan uca şifrelenmiş mesajlaşma servisleri, lazım olduğunda kullanılabilecek bir arka kapı (backdoor) tabir edilen açıklar barındırırlar.  Şirketin özel durumlarda kullanması için üretilen bu açıklar elbette şirket haricinde siber saldırganlar (hackerlar) ve istihbarat örgütleri tarafından da şifrelerin kırılmasına ve şifrelenmiş mesajların okunmasına neden olabilir.

Özel ve Genel Şifreleme Anahtarları

Çoğu kriptolu mesajlaşma servisi, bu tür şifreleme algoritmalarında varsayılan olarak, kullanıcının cihazında offline kalacak bir “private encryption key” (özel şifreleme anahtarı) üretirler. Ayrıca şirketin serverları aracılığıyla diğer kullanıcılara gönderilebilen online bir “public key” (genel şifreleme anahtarı) üretirler.

Whatsapp’ın mesajlaşan (alıcı ve gönderici) kişiler arasındaki anahtar değişim mekanizmasını kendi isteğiyle, bir tür ortadaki adam saldırısı (MITM) yaparak değiştirmeyeceği düşünülür. Buna “trust-based key exchange mechanism” (güvene dayalı anahtar değişim mekanizması) denir. Yani kullanıcılar Whatsapp’ın durduk yere böyle bir değişim yapmayacağına güvenir. Ancak anahtar değişim mekanizması değiştirilirse, değişikliği yapan kişi mesajları okuyabilir.

Whatsapp'ın anahtarlama prensibi
Whatsapp’ın anahtarlama prensibi

Güvenlik Açığının Nasıl Çalıştığını Anlayalım

Kaliforniya Üniversitesinde güvenlik araştırmacısı olarak görev yapan Tobias Boelter, Whatsapp’ın uçtan uca şifreleme protokolüne dayanan sinyalleşmesindeki anahtar değişim mekanizmasının, herhangi bir hacker veya şirketin kendisi tarafından istismar edebileceğini ve şifrelenmiş konuşmaların yakalanabileceğini ve kullanıcıların bundan tamamen bihaber olacağını gösterdi.

Boelter, “WhatsApp Retransmission Vulnerability” olarak adlandırdığı bu güvenlik açığının çalışma prensibini şöyle açıklıyor:

A ve B kullanıcılarının mesajlaştığını ve Whatsapp’ın serverları aracılığıyla ortak anahtarları (public key) otomatik olarak değiştiğini varsayalım.

Bu durumda, A kullanıcısı tarafından gönderilen her mesaj, A’nın özel anahtarı (private key) ve -sadece B tarafından çözümlenebilen- B’nin ortak anahtarı (public key) ile şifrelenecek; B bu mesajları okurken -sadece A tarafından çözümlenebilen- A’nın genel anahtarı (public key) ve B’nin özel anahtarını (private key) kullanacaktır.

B kullanıcısı çevrimdışı iken A’dan B’ye bir mesaj gönderildiğini varsayalım. Bu arada B kullanıcısı cihazını değiştirmiş ve başka bir cihazda Whatsapp hesabını yeniden yapılandırıyor olsun. Bu yapılandırma sırasında B yeni özel ve ortak anahtar çifti üretir. B kullanıcısı yeniden çevrimiçi olduğunda A’dan gelen teslim edilmemiş mesajları alacaktır.

Peki B kullanıcısı, A’dan gelen ve eski B’ye ait ortak anahtarı kullanarak şifrelenen iletileri nasıl çözümleyecek?

İşte açık burada başlıyor. B kullanıcısı tekrar çevrimiçi olduğunda, WhatsApp otomatik olarak haber vermeden kullanıcıların özel ve genel yeni anahtarlarının değişimini yapar. Hemde “trust-based key exchange mechanism”e (güvene dayalı anahtar değişim mekanizması) aykırı olarak.

WhatsApp aslında iyi bir niyetle, yani B’nin okumadığı mesajlarını yeniden şifreleyerek kendisine iletmek için bu değişimi yapıyor. Ancak herkes iyi niyetli değil.

Kötü niyetli bir saldırgan kendi anahtarını araya sokabilir
Kötü niyetli bir saldırgan kendi anahtarını araya sokabilir

Şimdi C adlı bir art niyetli (hacker) kullanıcımız olsun. C kullanıcısı kasıtlı olarak B’nin genel anahtarını kendi anahtarı ile değiştirirse, teslim edilmemiş tüm iletiler otomatik olarak yeniden şifrelenecek ve yalnızca C kullanıcısına ait özel anahtar tarafından çözülebilecek şifrelenmiş mesajlar C’ye teslim edilecektir.

C’nin bu anahtarı nasıl değiştireceğini merak ediyorsanız, MITM saldırılarının nasıl yapıldığını anlattığımız yazımıza bakabilir ve oradaki uygulama videosunu izleyebilirsiniz. İşte C, bu tür teknikler kullanarak uçtan uca şifrelenmiş mesajları okuyabilir.

Whatsapp Durumu Zaten Biliyormuş

Boelter, Nisan 2016’da Whatsapp’ın sahibi olan Facebook’a, bu açığa sebep olan arka kapıyı bildirdiğini söylüyor. Facebook’un ise Boelter’ın bildirimine “Anahtar değişikliğinin en yaygın nedeni, insanların telefon değiştirmeleri. Böyle bir durumda kullanıcılarımızın eski mesajlarını artık okuyamamalarını istemeyiz. Bu nedenle anahtar atama özelliğini devre dışı bırakamayız” yanıtını vermiş.

Ancak Boelte, bu yazışmadan sonra Facebook’un zaten sorunun farkında olduğunu ama herhangi bir çözüm üzerinde çalışmadığını anladığını ifade ediyor.

facebook answer
Whatsapp’ın Boelter’a verdiği cevap (kaynak https://tobi.rocks)

Aslında bu güvenlik açığı sadece Whatsapp’a özgü değil; uçtan uca şifreleme mantığıyla çalışan, genel ve özel şifreleme anahtarlama ile çalışan sistemlerin genel bir açığı.

Özetle; bir saldırganın MITM saldırısı veya sisteminizi ele geçirerek anahtar değişimi yapması olasılığını düşük görüp Whatsapp’a güvenebilir ve özel yazışmalarınız için uygulamayı kullanabilirsiniz. Ancak hackerlar, istihbarat servisleri ve hatta Whatsapp’ın kendisinin bile bu mesajları okuyabileceğini unutmamanızda fayda olabilir.

1 YORUM

BİR CEVAP BIRAK