İçindekiler:
Son zamanlarda WhatsApp’tan yararlanmanın ve uçtan uca şifrelemeyi atlamanın yeni bir yolundan bahsetti ve şirketin ne zaman yapabildiğini söylemekten hoşlanıyordu. Facebook’un kurduğu arka kapıdan bahsetmek için "it FUD" dan çıkan gamı çalıştıran tweetleri ve yorumları gördüm.
İyi haber şu ki ikisi de değil. Aslında, endişelenmen gereken şeylerden biri değil, ilk başta nasıl olduğunu merak etmeni sağlayan şeylerden biri çünkü oldukça özensiz. Ancak endişelenmeyin - bir şey olmadan çok önce sabitlenecek.
Ne olduğunu
Araştırmacılar Paul Rösler, Christian Mainka ve Almanya Bochum'daki Ruhr-Universität'teki Jörg Schwenk, WhatsApp'ın grup sohbeti yönetiminde kendine özgü bir kusur bulan bir araştırma makalesi (.pdf link) yayımladılar. WhatsApp, grup sohbetleri için bireysel sohbetler için yaptığı aynı uçtan uca şifrelemeyi sunar ve bu, genellikle söylediklerimizin okunmaması gereken kişilerce okunmayacağını bilmek konusunda güvende hissetmemiz gerektiği anlamına gelir. Grup üyelerinden biri olmasına izin vermedikçe onu okumak.
Görünüşe göre, bir yabancının kendilerini WhatsApp'taki bir grup sohbetine eklemesi teorik olarak mümkün. Burada "Teorik" ve "mümkün" anahtar kelimeler. Açıklayacağım.
WhatsApp, güçlü uçtan uca şifreleme kullanan grup mesajları sunar.
Bir WhatsApp grubundaki sohbette, asıl üyelerden biri veya daha fazlası yöneticidir. Sunucunun bakış açısına göre, bu kullanıcılar grup ekleyebilir ve bu kişileri kaldırabilir. Her şey yolunda gitmesine rağmen, her ne kadar işe yarasa da - bir yönetici grubun her üyesine imzalama tuşlarıyla bir sinyal gönderir ve karşılığında, her üye imzalama tuşlarıyla bir mesaj mesajı gönderir. Her üyeye, şu anda grupta yeni bir kişi olduğunu bildirir - iyi bir kullanıcı arayüzü oluşturmak için biraz fazla bilgi içerir. Yönetici değilseniz, bildiğiniz tek şey, Jerry'nin artık grubun bir üyesi olduğu mesajını görmenizdir. Bunu kabul edebilir veya sohbetten çıkabilirsiniz.
Benzer bir hata, Signal ile grup mesajlaşmada da bulundu.
Sorun şu ki, WhatsApp bu grup yönetimi taleplerini kendi sunucularında doğru bir şekilde doğrulamıyor. Bir WhatsApp sunucusunun, bir kişiyi grup sohbetine ekleyebilecek bir iletinin göndereni kimliğini doğrulaması gerekir. Kişi, hem grubu, hem de eklemek istediği üyeyi tanımlayan bir mesaj gönderir ve sunucu, gönderen kişinin gerçekten bir sohbet yöneticisi olduğundan emin olmak için kontrol eder. Bu mesajlar uçtan uca şifrelenmez ve standart taşıma şifrelemesi kullanır - bir sohbet yöneticisinden gelen ve bir kullanıcının bir sohbete eklenmesini isteyen bir sunucuya giden mesaj gönderen tarafından şifreleme anahtarıyla imzalanmaz..
Bu, bir WhatsApp sunucusunun istediği herhangi bir gruba istediği zaman istediği kullanıcıyı ekleyebileceği anlamına gelir. Sunucu, başka bir kullanıcı değil. Bu önemlidir ve bu, bir WhatsApp grup sohbetinde beklenen herhangi bir gizliliğin yalnızca WhatsApp sohbet sunucusuna güvenmeye bağlı olduğu anlamına gelir. Bu, uçtan uca şifrelemenin tüm amacını yitirir; bu, yalnızca gönderenin ve alıcının bir iletinin şifresini çözebileceği için bir sunucu tehlikede olsa bile gizliliğin garanti altına alınması için tasarlanmıştır.
Ve sonra internet kolektif aklını yitirir, çünkü internetin yapmasında gerçekten çok iyidir.
Bu olmayacak ama yine de tamir edilmesi gerekiyor
Bu kusurdan yararlanmanın tek yolu, bunu yapan sunucuya erişimi olan biri. Bu, bir sunucunun güvenliğini tehlikeye attığını veya bir çalışanın kötü niyetli davrandığı veya üç harfli bir devlet kurumunun arama emri çıkardığı anlamına gelir. Bunlardan herhangi biri olabilirdi, geçmişte olmuş olabilir ve şu anda bile olabilirdi. Ancak başka bir şeyin göz önünde bulundurulması gerekir - sohbette olup olmadığını anlarsın.
Bir grup sohbetine bir kişi eklendiğinde, şifrelenmiş olsun veya olmasın, bildirilir.
Bir sunucu eklendikten sonra bir sunucunun yaptığı ilk şey, grubun diğer üyelerine "Jerry sohbete eklendi." Size birinin eklendiğini söyleyen mesajı göreceksiniz ve diğerleri de öyle. Jerry, kötü şakaları ve ucuz birasıyla özel sohbet partisine geldiğinde ve kimse onu davet etmediğinde, bu bir şeyin yanlış olduğunu ve kimsenin özel olarak yazmak üzere olduklarını düşünmemesi gerektiğinin bir işareti olacak. Jerry'siz toplanıp başka bir sohbete geçin ve belki de çarpmasına izin vermeyecek farklı bir hizmet bile verin.
Böylece hiç kimse şifreli grup sohbetinizi gizlice kontrol edemez, ancak bu yine de mümkün olan her şekilde uçtan uca şifrelemeyi baltalar. Hemen düzeltilmesi gerekiyor ve belki de tüm grup yönetimi yönteminin yenilenmesi gerekiyor. En azından, hepimiz başımızı çizmemiz ve bunun nasıl programcılar ve kod denetçiler tarafından nasıl kaydığını merak etmemiz gerekir. Asla sömürülmeyecek, ama yine de saçma bir öncül.
Ne yapmak gerekiyor
Gerçekten hiçbir şey. Bu araştırmayı Rösler, Mainka ve Schwenk'in yaptığı işi takdir ederek takdir ediyorum, çünkü güvenlik araştırması nezaketsiz ve sık sık zihin uyuşuk bir iştir, ancak geçmişte gerçekten rutininizi değiştirmenize gerek kalmaz. Şifrelenmiş bir grup sohbete üye ekleme isteğinin doğrulanması için bir yöntem, WhatsApp'ın tekerleklerini kısa süre dönmeye devam ettiren kişiler tarafından çözülecek ve bu, artık hiçbir zaman istismar edilemeyecek bir kusurdan asla yararlanamayacak bir hatadan değişecek herşey.
Önemli olan, dikkatini vermendi, çünkü bir sonraki kusur senin için bir şeyler yapması gereken çok iyi olabilir. Başka bir kusur daha olacak, bu yüzden dikkat etmeye devam ettiğinden emin ol.
