Mesajlaşma platformu WhatsApp’ın 2014’te Facebook tarafından satın alınmasından bu yana, uygulama önüne geçilemez bir biçimde büyümeye devam ediyor. Uygulama artık her ay günde 30 milyar mesaj gönderen bir milyarın üzerinde kullanıcıya sahip.
Whatsapp yıllar boyunca iki adımlı onaylama ve otomatik şifreleme ekleyerek güvenliğini daha güçlü bir hale getirdi. Ancak tüm bunlara rağmen farkında olmanız gereken bazı güvenlik tehditleri bulunuyor.
Kötü Amaçlı Web Yazılımları
Kötü niyetli siber suçluların bir milyarın üzerinde kullanıcıya sahip olan bu popüler mesajlaşma uygulamasını kötü amaçları için kullanmaya çalışacağına hemen hemen hiç şüphe yoktur. WhatsApp Ocak 2015’te web ara yüzü ve masaüstü uygulamasını piyasaya süreceğini açıklamıştı. Tahmin edileceği üzere, hacker’lar da verileri çalan ve kötü amaçlı yazılımları dağıtan sahte WhatsApp siteleri ve uygulamaları ile öne çıkmaya başladı.
Bazı saldırganlar WhatsApp Masaüstü uygulamaları olarak gizlenen kötü niyetli yazılım indirme unsurları yarattı. Bu yazılımlar bir kez indirildikten sonra bilgisayarınızı savunmasız bırakacak kötü amaçlı yazılımlar ve başka yazılımları indirebiliyordu. Diğerleri ise WhatsApp Web’ erişim imkanı sunuyormuş gibi numara yapan web siteler yaratmaya çalıştı. Bu siteler ‘sizi hizmete bağlamak’ için cep telefonu numaranızı girmenizi istiyor ancak gerçekte WhatsApp’ınızı spam mesajlarla bombalamak için kullanıyorlar.
WhatsApp hem Windows hem de Mac hizmetleri sunmasına rağmen, en güvenli seçenek http://web.whatsapp.com adresindeki kaynağa doğrudan ulaşmak olacaktır.
Gizliliği Kaldırılmış Yedeklemeler
WhatsApp üzerinden gönderdiğiniz mesajlar her iki tarafta da şifrelenmektedir. Ve bu da sadece sizin cihazınızın söz konusu mesajların şifresini çözebileceği anlamına geliyor. Yani iletim sırasında mesajlarınıza kimsenin müdahale etmesi mümkün olmuyor ancak mesaj cihazınıza ulaştıktan sonra güvenlik hakkında herhangi bir şey yapılmıyor. Hem iOS hem de Android’de mesajlarınızın yedeğini iCloud’da veya Google Drive’da yaratmak mümkün. WhatsApp’ın yarattığı yedeklemeler cihazınızda şifresi çözülmüş mesajlar içerir. Yedeğin kendisi şifreli değildir.
Biri mesajlarınıza erişmek isterse, sadece günlük yedeklemenizin en son kopyasına ihtiyaç duyacaklardır. Yedekleme konumunuzu değiştirme seçeneği olmadığından bu durum o sizi savunmasız da bırakır. Bu da verilerinizi korumak için kullandığınız bulut hizmetinin insafına kaldınız demektir. Özellikle iCloud güvenlik konusunda itibarında büyük kayıplar yaşadı, bilhassa da tarihteki en büyük ünlüler bilgi sızıntısında oynadığı rolü ardından.
Şifrelemenin sözde faydalarından biri durum ne olursa olsun hükümetin ve kanun uygulayıcılarının verilerinize erişebilmesine engel olmaktır. ABD merkezli iki bulut saklama sağlayıcılarından birinde şifresiz yedeklemek sunulduğundan, devletin tek ihtiyaç duyacağı şey izin belgesi olacaktır. Böylece hiçbir engelle karşılaşmadan mesajlarınıza erişebileceklerdir. Bu durum pek çok vakada iki uçlu mesaj şifreleme özelliğini gereksiz kılar.
Facebook Veri Paylaşımı
Facebook WhatsApp’ı ‘Facebook Ailesine’ eklemeye karar verdiğinde, AB Facebook iki şirketi ve verilerini birbirinden ayrı tutacağını odukça açık bir şekilde ifade ettikten sonra anlaşmayı onayladı. Elbette sorumluluk sahibi bir şirket olarak Facebook kurallara uydu. En azından yaklaşık iki yıl boyunca. Sonra 25 Ağustos 2016’da WhatsApp Güvenlik Politikasını değiştirerek WhatsApp’tan gelen verileri Facebook’la paylaşmaya izin verdi. Sık Sorulan Sorulara göre:
“Bazı bilgileri Facebook ve Facebook ailesi şirketleri ile paylaşmayı planlıyoruz… Facebook ve Facebook ailesi şirketleriyle mevcut hesap bilgilerinizden bazıları, WhatsApp’a kayıt olurken teyit verdiğinizi telefon numarasının yanı sıra hizmetimizden en son ne zaman faydalandığınız gibi bilgiler.”
Kelimelerini ustalıkla kullanarak bilgilerinizin hiçbirinin Facebook üzerinden herkes tarafından görüntülenmeyeceğini de ifade ediyorlar. Bunun yerine bilgileriniz Facebook’un size ait derin ve erişilmez profilinde saklanacak. Ayarlar kısmından bu veri paylaşımını kapatmak mümkün. Ancak hemen hemen tüm özel yaşam savunucularına göre, veri paylaşımı varsayılan tercih olarak aktif hale getiriliyor ve WhatsApp’ın bir milyarın üzerindeki kullanıcılarının her birinin manuel olarak ayarlar kısmına girip bundan rahatsız olmaları halinde veri paylaşımını etkisiz hale getirmesini gerektiriyor.
Söz konusu değişikliğin ardından, Almanya’daki, ABD’deki ve İngiltere’deki resmi görevliler çeşitli endişelerini gündeme getirdi. Hatta şu anda Avrupa Komisyonu’nun Facebook ve WhatsApp’ın pratiklerine dair bir soruşturma başlatma ihtimali bile var. Facebook Kasım 2016’dan bu yana, Bilgi Yönetimi Ofisi Facebook’a söz konusu endişeleri ilettikten ve Facebook’tan verinin nasıl kullanılacağına dair bir açıklama talep ettikten sonra İngiltere’deki kullanıcılardan veri toplamaya ara verdi
Şifreleme Hassasiyetleri
The Guardian gazetesi Ocak 2017’de WhatsApp’ın şifreleme protokolü uygulamasının istismar edilebileceğini öne süren bir haber yayınladı. Mesajlar iletim sırasında okunmasın diye her iki cihazda da şifrelense de, bu şifreler telefonunuzda yerel olarak çözülüyor. Mesajı alan cihazın istenen alıcı olduğunu onaylamak için her kullanıcının herkese açık bir güvenlik anahtarı oluyor. Bu anahtar uygulamayı yeniden indirirken veya yeni bir telefona geçerken değiştirilebiliyor.
The Guardian’ın haberinde WhatsApp çevrimdışındaki kullanıcılar için güvenlik anahtarlarını değiştirme özelliğine sahip olduğu için mesajlara müdahale edip onların şifreletini kırabileceklerini iddia ediyordu. Daha sonra WhatsApp yeni bir güvenlik anahtarı ile mesajlarınızı yeniden göndermek zorunda bırakabiliyordu ve kendilerine de mesajlara erişmek için izin verebiliyordu. Habere göre, bu WhatsApp’ın Open Whisper Systems protokolünün uygulanmasının bir sorunu veya kasti bir özelliğiydi.
Ancak Open Whisper Systems uzun bir blog paylaşımıyla cevap vererek ‘arka kapıdan şifreleme’ iddialarını reddetti. Bunun yerine ortak saldırıdaki adamın ‘sadece WhatsApp’a özgü değil, herkese açık anahtar şifrelemede yaygın bir sorun olduğuna’ dikkat çektiler. Aynı zamanda, The Guardian’ı meseleyi fazla basitleştirmekle eleştirdiler. Bir tane herkese açık bir tanede cihazınızda özel bir anahtar olmak üzere iki şifreleme anahtarı olduğu gerçeğinden söz etmediler.
Teknik topluluk The Guardian’ı haberi basmadan önce detayları doğrulamak için pek fazla çabalamamakla suçladı. Ancak yine de bu haber, iki uçtan şifreleme gibi güvenli olarak görülen sistemlerin bile tamamen kusursuz olmadığını vurguladı.
Son Bir Şey Daha…
WhatsApp kısa bir süre önce Statü özelliğini değiştirerek bunu yok olan bir resim ve video güncellemeleri ile basit bir metin satırına dönüştürdü. Bu sayede Instagram hikayeleri ve Snapchat’e de benzemeye başladı. Altında yer aldığı şirketin özel haklar kontrollerini sadeleştirmeye duyduğu nefrete rağmen, WhatsApp Statünüzü kiminle paylaşacağınızı kontrol etmeyi oldukça kolay bir hale getirdi.
Ayarlar bölümüne girerseniz Statü güncellemeleriniz için üç farklı koruma düzeyi ile karşılaşıyorsunuz;
- Bağlantılarım
- … hariç bağlantılarım
- Sadece… ile paylaş
Sadeliğine rağmen engellenmiş bağlantılarınızın Statünüzü görüp görmediği hemen anlaşılmıyor. WhatsApp mantıklı olan şeyi yapmış gibi görünüyor. Engellenmiş bağlantılar Statünüzü görüntüleyemiyor. Tıpkı Instagram hikayelerinde olduğu gibi statünüze eklenen videolar ve resimler 24 saatten sonra yok oluyor.
Değişim Zamanı?
Eğer bu gerekçeler mesajlaşma uygulamasına duyduğunuz bağlılığı sorgulamanıza yeterli geldiyse, o zaman başka güvenli alternatiflerin mevcut olduğunu belirtmeliyiz. WhatsApp’ın iki uçtan şifreleme protokolü Open Whisper Systems tarafından geliştirilmişti. Bu şirket kendi güvenli mesajlaşma uygulaması Signal’i de geliştirdi. Bir de WhatsApp’in mesajlaşma olanaklarını Snapchat’in geçici doğasıyla birleştiren popüler Telegram’ı da unutmamak gerek tabii.
