WhatsApp’ın gizlilik politikasını değiştirmesi sonrası yaşanan tarihi göçte, diğer mesajlaşma uygulamalarında kullanıcıları hayal kırıklığına uğratabilecek güvenlik açıkları ortaya çıktı.
Signal, Google Duo, Facebook Messenger, JioChat ve Mocha mesajlaşma uygulamasında ortam dinlemesine izin veren güvenlik zafiyetleri keşfedildi.
Google Project Zero araştırmacılarından Natalie Silvanovich’in bulduğu güvenlik açıkları, saldırganların karşı tarafın izni olmadan cihazın bulunduğu ortamın dinlemesine imkan sağlıyor. Yedi mesajlaşma uygulamasının incelendiğini ve beş güvenlik açığının bulunduğunu belirten güvenlik araştırmacısı, zafiyetlerin hedeflenen cihazlarda kod çalıştırma ihtiyacı duyulmaksızın ses ve görüntü aktarımını mümkün kıldığını belirtti.
Söz konusu zafiyetlerle ilgili uygulama sahibi şirketler tarafından gerekli yamalar yayımlandı.
Açık bulunan Signal, Google Duo, Facebook Messenger, JioChat ve Mocha uygulamalarında görüşülen kişinin iznine gerek kalmadan dinlemeyi sağlayan zafiyetler tespit edildi.
Silvanovichi Google Project Zero’nun blog sayfasından paylaştığı yazıda “Mesajlaşma uygulamalarındaki grup arama özelliklerinde zafiyetleri henüz incelememiş olmam endişe verici. Bulunan zafiyetlerin hepsi uçtan uca aramalarda tespit edildi. Gelecekte ilave problemler ortaya çıkabilecek bir alan.” değerlendirmesinde bulundu.
Telegram ve Viber’da konuya ilişkin herhangi bir zafiyet tespit etmediğini belirten Google araştırmacısı, iki sene önce WhatsApp’da da kritik bir zafiyeti tespit etmişti. Güvenliğini açığı, saldırganlara bir arama yaparak kullanıcının uygulamasını çalışamaz hale getirme imkanı veriyordu.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
WhatsApp’ın gizlilik politikasını değiştirmesi birçok kullanıcıyı daha güvenli uygulama arayışına sevk etti. Yaşanan tarihi göçte hangi uygulamanın daha güvenli olduğu sorusu ön plana çıktı.
BBC Türkçe’de konuyu değerlendiren Kadir Has Üniversitesi Öğretim Üyesi Doç. Dr. Hamdi Akın Ünver yeni bir mesajlaşma uygulamasına geçilirken dikkat edilmesi gereken konuları sıraladı.
Bunlardan ilki, ‘uçtan uca şifreleme’ (yani mesajı gönderen ve alan kişi dışında kimsenin görememesi) özelliği. İkincisi ise uygulamaların hangi kullanıcı verilerini depoladığı ve üçüncü parti hizmetlerle paylaştığı. Bu iki konuda da öne çıkan uygulamaların başında Signal ve Telegram geliyor.
WhatsApp, iki önemli ücretsiz rakibi Signal ve Telegram gibi güçlü bir uçtan uca şifreleme özelliğine sahip. Ancak WhatsApp’ta doğrudan mesajlar şifrelense bile WhatsApp kendi sunucularında depoladığı meta-veriler (gönderici, alıcı, gönderi zamanı ve gönderen lokasyonu) şifrelenmiyor. Dahası WhatsApp’ın bu meta-verileri de reklam ve hizmet optimizasyonu için üçüncü şahısların kullanımına açtığı daha önce ortaya çıkmıştı. Bu, WhatsApp’ın güvenilirliği ile ilgili uzun zamandır sektör tarafından eleştirilen bir nokta.
SİGNAL’İN EN ÖNEMLİ AVANTAJI: KAYBOLAN MESAJLAR
Signal ise WhatsApp ‘ın uçtan uca şifreleme protokolünü daha ileri götürerek meta-verileri de şifreliyor. Böylelikle bu tip verilerin üçüncü şahıslara satılması veya verilere başka kanallar yoluyla erişilmesi -Signal dahil – mümkün değil.
Signal’in WhatsApp’a kıyasla en önemli avantajı ise daha ileri seviyede güvenlik özelliklerine sahip olması. Bunların başında “kaybolan mesajlar” özelliği geliyor. Bu özellik gönderilen ve alınan mesajların kullanıcı tarafından belirlenen süreyi geçince veya okununca otomatik olarak silinmesini sağlıyor. Bunun yanında Signal “tek gösterimlik” medya (video, fotoğraf, ses) mesajlarıyla bu tip verilerin görüldükten sonra otomatik silinmesini olası kılıyor. Ayrıca
Signal’in “açık kaynak kodlu” olması ve programcıların bu uygulamanın tam olarak verileri nasıl işlediğini çok net bir şekilde görebilmeleri de bu platformu kapalı-kod uygulamasına sahip WhatsApp’a kıyasla daha güvenli kılıyor. Signal verileri kendi sunucuları veya başka bir bulut depolama alanında yedeklenmiyor. Mesajlar sadece kullanıcının telefonunda depolanıyor. Bu da gönderici ve alıcı dışında kimsenin mesajlara erişememesini sağlıyor.
TELEGRAM: GİZLİ SOHBET ÖZELLİĞİ KULLANILMALI AMA GRUPLARDA BU AVANTAJ YOK
Bir başka önemli “uçtan uca şifreleme” özelliğine sahip uygulama ise Telegram. Her ne kadar WhatsApp’a kıyasla daha az kullanıcı meta-verisi kullansa da Telegram, Signal’den biraz daha fazla güvenlik açığına sahip. Bunların en önemlisi Telegram’da “gizli sohbet” özelliği kullanılmadığı sürece uçtan uca şifreleme olmaması.
“Gizli sohbet” uygulaması ancak iki kişi arasında yapılabiliyor ve WhatsApp ‘takine benzer çok kullanıcılı gruplarda uygulanamıyor. Ancak “gizli sohbet” özelliği kullanılmadığında mesajlar Telegram sunucularında şifrelenip yine aynı sunucularda çözümlenmesinden sonra alıcıya gönderiliyor. Şifreleme anahtarları Telegram’da depolandığı için teorik olarak “gizli sohbet” özelliği dışındaki mesajlara bu platformun erişimi olabilir. Bu konuya dönük Telegram’ın savunması, “ancak birden fazla ülkenin güvenlik kurumlarından talep geldiği takdirde” bu tip mesajlara erişim olabileceği yönünde. Bunun yanı sıra Telegram, bugüne kadar üçüncü parti uygulamalara ve güvenlik güçlerine asla veri paylaşmadığını da ekliyor. Ancak Telegram mesajları şifrelemek için MTProto2.0 adlı kendi kapalı-kod çözümleme protokolünü kullanıyor. Bu şifreleme protokolü kapalı-kod olduğu için bağımsız kriptografik analizinin yapılması mümkün değil. Bu da Telegram’ın sektör içerisinde Signal’e kıyasla daha “muğlak” kabul edilmesine yol açıyor.
Yerli mesajlaşma uygulamalarından Bilgi Teknolojileri Kurumu’nun sunduğu “Dedi”nin “Sıkça Sorulan Sorular” bölümünde, bu uygulamanın Signal baz alınarak geliştirildiği ve hiçbir kullanıcı verisini kayıt altına almadığı belirtiliyor. Mesajlar transfer amaçlı sunucularda tutulduktan sonra alıcıya iadesi gerçekleştiğinde sistemden siliniyor ve yedeklemesi alınmıyor. Bip ve Yaay’e kıyasla Dedi kodları açık kaynak olduğu için mesajların nasıl şifrelendiği ve transfer edildiğiyle kullanıcı verilerini nasıl işlediği bağımsız programcılar tarafından da denetlenebiliyor.
Kaynak: BBC Türkçe
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Hindistan ordusu, “Kendi kendine yeten Hindistan” sloganıyla yerli ‘güvenli mesajlaşma uygulaması’ geliştirdi.
“Kendi kendine yeten Hindistan” anlamına gelen ‘Atmanirbhar Bharat’ kampanyası kapsamında Hindistan ordusu “İnternet için Güvenli Uygulama (Secure Application for the Internet) adlı güvenli bir mesajlaşma uygulaması üretti.
UÇTAN UCA ŞİFRELEME ÖZELLİĞİ VAR
Hindistan Savunma Bakanlığından yapılan açıklamada, internet üzerinde Android platformlarda oluşturulan bu uygulamanın sesli, yazılı ve görüntülü konuşmaları uçtan uca şifrelediği belirtildi.
Açıklamada, “SAI” uygulamasının, WhatsApp, Telegram, SAMVAD ve GIMS gibi mevcut mesajlaşma uygulamalarına benzediği ve uçtan-uca şifreleme mesajlaşma protokolünü kullandığı duyuruldu. Açıklamada ayrıca, “Yerel servis sunucuları ve kodlama ile ilgili güvenlik özellikleriyle ilgili ince ayarlamalar değerlendiriliyor.” ifadelerine yer verildi.
Bu ihtiyaç ordu yetkililerinin birbirleriyle iletişim kurmak için ticari mobil uygulamaları kullanmasının, güvenliği tehlikeye atacağı endişelerinden kaynaklanıyor. 2020 yılının başlarında Hindistan Ordusu, Facebook, Truecaller, Instagram gibi popüler uygulamaları ve PUBG gibi oyunları, ordu mensuplarının cep telefonlarından silmesine yönelik 89 uygulamayı yasaklayan bir ‘emir’ yayınlamıştı. Bu yasaklamaların, hassas ulusal güvenlik bilgilerinin sızmasını engellemek için tasarlandığı söylenmişti.
Bu uygulama ise, ordu mensupları arasında güvenli iletişim için kullanılacak.
UZMAN KADRO TARAFINDAN İNCELENİYOR
Açıklamada uygulamanın, bilgisayar güvenliği olaylarını ele alan (Computer Emergency Response Team) uzman gruplardan oluşan bilgisayar acil güvenlik ekipleri ve Ordu Siber Grubu (Army Cyber Group) tarafından incelendiği bildirildi. Fikri Mülkiyet Hakları (IPR) başvurusu, altyapıyı NIC’de barındırma ve iOS platformunda çalışma sürecinin şu anda devam ettiği ifade edildi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
