Viyanalı araştırmacılar 3,5 milyar WhatsApp hesabını “çözdü”

WhatsApp (Meta), dünya genelinde en popüler mesajlaşma uygulaması olsa da, en güvenli uygulama değil – bunu altı kişilik Viyanalı bir ekip ortaya koydu. Araştırmacılar, bir güvenlik açığı sayesinde 3,5 milyar kullanıcı hesabına, bazen profil fotoğraflarıyla birlikte, erişim sağlayabildiklerini açıkladı. Bu, WhatsApp’taki güvenlik açıklarının ilk kez ortaya çıkarılması değil, ancak boyutu açısından bir ilk.

Viyana Üniversitesi Bilişim Fakültesi’nin Güvenlik ve Gizlilik Araştırma Grubu’ndan Gabriel Gegenhuber ve Maximilian Günther liderliğindeki ekip, 245’ten fazla ülkedeki 3,5 milyar WhatsApp hesabından, yani kullanıcı verilerini “enumerate” ederek, yani okuyarak, önemli bilgileri elde etmeyi başardı.

Bu ölçekte bir erişim, WhatsApp sunucularına sınırsız şekilde bağlanabilmeleri sayesinde mümkün oldu. Normalde, kötüye kullanımı önlemek için sorgulama oranlarının sınırlandırılması standart bir güvenlik önlemidir. Ancak Gegenhuber ve Günther, “Yüz milyonlarca telefon numarasını saatte kontrol edebildik, engelleme veya etkili bir sınırlama ile karşılaşmadık” diyor. Böylece hangi operatörü kullandıkları, hangi işletim sistemi (Apple iOS veya Android) ve kaç ek masaüstü sürümü kullandıkları tespit edilebildi. Ayrıca, kullanıcı izin vermişse, profil fotoğrafları da görülebiliyordu.

Günther, “Bu veri riski kısmen gerekli, çünkü bu yazılım yapısı, kullanıcıların kişilerinin kullanılabilirliğini sorgulamasına ve sohbet başlatabilmesine olanak sağlıyor. Ancak kullanıcılar bazen farkında olmadan çok fazla bilgiyi herkese açık hale getiriyor” diyerek uyarıda bulundu.

Viyanalılar daha önce de güvenlik açıkları bulmuştu

Viyanalı ekip, daha önce de güvenlik açıklarını ortaya çıkarmıştı. Önceki araştırmalarda WhatsApp ve Signal’in kullandığı şifreleme teknolojisinde gizlilik ve iletişim güvenliği sorunları tespit edilmişti. “Bu durumda bireysel veriler ele geçirilmiyor, ancak kişiler arası iletişim desenleri ve genel kullanıcı davranışları gibi önemli meta veriler elde edilebiliyor” diyor ekip.

Ayrıca, araştırmalar, 2021’de Facebook veri sızıntısında açığa çıkan telefon numaralarının neredeyse yarısının hâlâ WhatsApp’ta aktif olduğunu ve risklerin devam ettiğini gösteriyor.

17.500 Dolar ödül

Meta’nın WhatsApp üzerindeki alarm verici çalışmalara yanıtı ise ilk başta sınırlı kaldı. Ancak son aylarda durum değişti. Gegenhuber, “Üç ay boyunca haftalık toplantılar yaptık, toplantılar bazen çok uzun sürdü ve WhatsApp’ın üst yönetimi de sürece dahil oldu” diyor.

WhatsApp Mühendislikten Sorumlu Başkan Yardımcısı Nitin Gupta, “Viyana Üniversitesi araştırmacılarına sorumlu ortaklıkları ve özenli çalışmaları için minnettarız. Bu çalışma, yeni savunma önlemlerimizin etkinliğinin test edilmesinde ve doğrulanmasında belirleyici oldu” dedi. WhatsApp, Viyanalı araştırmacılara 17.500 dolar ödül verdi. Gegenhuber, “Bunu güzel bir şekilde yemek için kullandık ve yeni denemeler için donanım aldık” diyor.

WhatsApp, dünya genelinde üç milyar kişinin ayda en az bir kez kullandığı en popüler mesajlaşma uygulaması. Günlük kullanıcı sayısı 2,3 milyarı aşarken, toplamda 100 milyardan fazla mesaj gönderiliyor. Telegram, Signal ve Çin merkezli WeChat gibi alternatif mesajlaşma uygulamaları çok daha az tercih ediliyor.| ©DerVirgül