WhatsApp Arka Kapısı - Hacker’lar Şifreli Mesajlarınızı Okuyabilir
25.01.2017
Bir özellik mi yoksa bir hata mı?
Çoğu kişinin inancı, uçtan uça şifrelemenin iletişimini koruyacağı yönünde. Öyle de aslında ancak eğer doğru uygulanmaz ise araya girilebilir durumda.
WhatsApp geçen sene uçtan uca şifrelemeyi varsayılan olarak devreye aldığında 1 milyardan fazla kullanıcısı ile en büyük güvenli mesajlaşma platformu haline gelmişti.
Ancak eğer siz de bu durumun WhatsApp’ın sahibi Facebook dâhil hiç kimsenin bu mesajların arasına girip okuyamayacağı demek olduğu fikrine sahipseniz yanılıyorsunuz. Ve bu durum yeni bir şey değil.
Aslında bunun bir arka kapı olmadığı ve şifrelemenin doğası gereği oluşabilecek bir durum olduğunu savunan ve WhatsApp’ın seçimini daha güvenli yöntem yerine daha kullanıcı dostu olan yöntemi seçtiği düşünülüyor.
Bir örnek üzerinden açıklamak gerekirse;
Kullanıcı A ve kullanıcı B mesajlaşmak istediğinde WhatsApp önce kullanıcıların açık anahtarlarını (public key) birbirleri ile paylaşıyor. Şifreleme ve çözme için bir açık bir gizli anahtar (private key) gereklidir.
A kullanıcısından B kullanıcısına artık her gönderilen mesaj A kullanıcısının özel anahtarı ve B kullanıcısının açık anahtarı birlikte kullanılarak şifrelenir. Sadece B kullanıcısı bu mesajı A kullanıcısının açık anahtarı ve kendi özel anahtarını birlikte kullanarak çözebilir.
Bu durum böyle devam ediyorken B kullanıcısı ulaşılamaz duruma gelir ise ve bir sebepten ötürü başka bir cihazdan WhatsApp hesabı açar ise bu durumda yeni kurulan WhatsApp B kullanıcısına yeni özel ve açık anahtar çifti oluşturur.
B kullanıcısı A kullanıcısının kendisi ulaşılamaz durumda iken gönderdiği mesajları aldığında nasıl okuyacak? Eski açık anahtar ve özel anahtar erişimi yok.
Bu durumda WhatsApp güvenli yöntem olan kullanıcının uyarılması ve mesajların tekrar gönderilmesini seçenek olarak sunmak yerine, kullanıcıların haberi olmadan yeni anahtarları paylaşıp mesajları tekrar yeni anahtarla şifreleyip sessiz sedasız kullanıcılara ulaştırmayı tercih etmiş.
Bu durumda araya girebilen bir hacker B kullanıcısının anahtarını kendi anahtarı ile değiştirir ise bu gönderilmemiş mesajlar tekrar şifrelenip hacker’ın açabileceği şekilde iletilebilir durumda oluyor.
WhatsApp’ın bun karşı bir çözümü var aslında ama güvenli tasarımdan ziyade işi kullanıcılara bırakıyor.
Güvenlik uyarılarını kendiniz açarsanız, konuştuğunuz kişinin anahtarı değiştiğinde size uyarı veriyor. Sizin de karşı taraftaki anahtarı doğrulama yapmak ve emin olduktan sonra mesajlaşmaya devam etmek gibi bir sürece girmeniz gerekiyor.