Geçtiğimiz günlerde Zürih’te gerçekleşen Real World Crypto Güvenlik Konferansı’na katılan Ruhr Üniversitesi’nden bir grup araştırmacı, aralarında WhatsApp, Signal ve Threema gibi uygulamaların da bulunduğu bir dizi kriptolu mesajlaşma uygulamasında tespit ettikleri güvenlik açıklarını paylaştı. Signal ve Threema’da bulunan açıklar nispeten zararsız olsa da araştırmacılar WhatsApp’ın güvenliğinde çok daha önemli boşluklar tespit etti. Ekip, WhatsApp sunucularını kontrol eden herhangi birinin, grup yöneticisine bile fark ettirmeden gruba yeni kişiler ekleyebileceğini söylüyor.
Bu durum araştırmanın makalesinde, “Davetsiz üye grubun bütün yeni mesajlarına erişim imkanı bulup okuduğunda grubun gizliliği ortadan kalkıyor. Hem grup konuşmalarında hem de ikili konuşmalarda uçtan uca şifreleme olması, konuşmaya yeni bir üye eklemenin yasak olması anlamına gelmeli. Eğer öyle değilse kriptolamanın pek de bir anlamı yok gibi duruyor.” şeklinde ifade ediliyor.
Saldırgan gönderilen mesajları kontrol edebiliyor
Alman araştırmacılar, tespit edilen WhatsApp açığının basit bir hatadan kaynaklandığını söylüyor. Normalde sadece WhatsApp grubunun yöneticisi olan kişi gruba yeni üyeler ekleyebilir fakat açık yüzünden sunucu, yöneticiye hiç fark ettirmeden gruba yeni üyeler ekleyebiliyor. Böylece gizlice eklenen kişi gruptaki bütün katılımcıların telefon numarası ve mesajlarına erişim imkanı buluyor.
Normalde WhatsApp grubuna yeni bir üye katıldığında gruptaki herkese bildirim gider. Eğer grup yöneticisi grubu yakından takip ediyorsa grubu katılan davetsiz misafirle ve sahte davet mesajıyla ilgili uyarabilir. Fakat Ruhr Üniversitesi araştırmacıları ve Kriptografi Profesörü Matthew Green, saldırganın fark edilmesini geciktirmenin birkaç hilesi olduğunu söylüyor. WhatsApp sunucusunun kontrolünü elinde tutan bir saldırgan gruba girdiğinde, kişi sunucuyu gruptaki herhangi bir mesajı engelleyecek şekilde de kullanabilir. Örneğin gruba yeni gelen kişiyle ilgili sorulan soruları veya uyarıları devre dışı bırakabilir.
Araştırmacı Paul Rösler, “Saldırgan bütün mesajları kontrol ederek hangi mesajın kime gönderileceğini veya gönderilmeyeceğini kontrol edebilir. Birden fazla yönetici bulunan gruplarda ele geçirilen sunucu, her bir yöneticiye farklı sahte mesajlar gönderilecek şekilde kontrol edilebilir. Bu da yöneticilerin gruba yeni dahil olan saldırganın başka bir yönetici tarafından eklendiğini düşünmelerine sebep olabilir.” diyor.
