Aktif kullanıcı sayısı 700 milyonu geçen WhatsApp, Facebook tarafından satın alındığından bu yana güvenlik ve gizlilik konusunda daha titiz bir yaklaşım sergiliyor. Popüler uygulama, geçtiğimiz sene şifreleme işlevi gibi güvenlik önlemleri almak zorunda kalmıştı.
Peki bunlar yeterli oldu mu? WhatsApp'ın sorunu tam olarak neydi?
WhatsApp'ın yaşadığı sorunlar, Mayıs 2011'e dayanıyor. Bu tarihte ortaya çıkan bir açık, kullanıcıların oturumlarının izlenebilmesine olanak tanıyordu. Bu açığı kapatmak üzere uygulamanın yeni bir sürümü yayınlandı, ancak veriler halen düz metin olarak gönderilip alınmaktaydı. 2012'de yayına başlayan WhatsAppStatus.net adındaki web sitesi ise herhangi bir kullanıcının durum metnini değiştirmenize olanak tanıyordu. Sorunu çözmekte yavaş davranan WhatsApp, ilk başta sadece web sitesinin IP adresini engelledi ve açığın kapatıldığını iddia etti. Ancak çok geçmeden benzer bir araç daha ortaya çıktı ve WhatsApp, daha sıkı bir çözüm bulmak zorunda kaldı. Sonuç olarak sohbetler şifrelenmeye başladı, ancak bu işlev de yetersizliği nedeniyle eleştirildi.
2013'te Hollanda'dan bir güvenlik araştırmacısı, yeterli teknik bilgiye sahip herhangi bir kişinin WhatsApp sohbetlerinin şifresini çözebileceğini, zafiyetlerin "belgelendirilmiş" olduğunu söyledi. Bu açık, büyük oranda sohbet sırasında her iki tarafta aynı şifreleme anahtarının kullanılmasından kaynaklanıyordu.
WhatsApp, Kasım 2014'te Electronic Frontier Foundation'dan sadece 2/7 puan alarak şifreleme konusundaki önlemlerinin yetersiz olduğunu gösterdi.
Peki WhatsApp'ın bunlara cevabı ne oldu?
WhatsApp'ın yeni sahibi Facebook, geçen sene 18 Kasım'da Open Whisper Systems ile bir anlaşma imzalayarak uçtan-uca şifreleme işlevini popüler uygulamaya getirdi. Open Whisper, yeni şifreleme işlevinin dünyada en yaygın olarak kullanılan şifreleme haline geleceğini ve TextSecure'dan faydalanacağını söyledi.
Uçtan uca şifreleme, şifreleme işini merkezi bir sunucuda gerçekleştirmek yerine, kullanıcının cihazında depolanan anahtarlarla yerine getiriyor. TextSecure ile bir araya geldiğinde işlev, her yeni mesaj için yeni bir anahtar oluşturuyor. WhatsApp'ın kullandığı bu yöntem, anahtarları hem kullanıcının cihazında, hem de sunucuda saklayan diğer popüler mesajlaşma uygulamalarından oldukça farklı. Bu diğer yöntem, şirketlerin ve devletin istediğinde verilere ulaşabileceği, hacker'ların kişisel bilgilere ulaşma ihtimalinin bulunduğu anlamına geliyor.
Peki tüm sorunlar çözüldü mü?
WhatsApp'ın son yenilikleri, onun hacker'lara karşı tam bir koruma sağladığı anlamını taşımıyor. Örneğin Hollandalı bir geliştirici tarafından oluşturulan WhatsSpy Public, kullanıcıların çevrimiçi olma durumunu gözetleyebiliyor. Araç, bunu en kısıtlı gizlilik ayarlarına rağmen yapilmekte. İyi olansa bu aracın kurulumunun pek kolay olmaması ve sadece root'lu Android veya jailbreak'li iPhone kullanıcılarını takip edebilmesi.
WhatsApp, güvenlikle ilgili son iddialar hakkında henüz resmi bir açıklama yapmasa da bir yetkili, bahsettiğimiz açık için şunları söylemiş bulunuyor: "Bu bir hack değil... Bu temelde zaten erişim bulunan verilerin kaydedilmesi ve izlenmesinden ibaret."
Yorum Gönder