Whatsapp'ta güvenlik açığı

Facebook'un 2014'te satın aldığı popüler mesajlaşma uygulaması WhatsApp'ta, uçtan uca şifreleme yöntemiyle gizliliği korunduğu sanılan mesajlarının aslında Whatsapp tarafından gerektiğinde okunabildiği ortaya çıktı. Şirketten yapılan açıklamaya göreyse, milyarlarca kullanıcısı olan uygulamanın geliştiricileri güvenlik açığının farkında ancak bunu çözülecek bir sorun olarak görmüyorlar. Uçtan uca şifreleme Nisan 2016'da görüşmeleri uçtan uca şifreleme yöntemiyle korumaya başladığını açıklayan Whatsapp, bu sayede internet bağlantısı hackerlar tarafından izleniyor olsa bile görüşmelerin gizli kalmasını sağlamıştı. Fakat ortada aslında çok basit bir sorun vardı. Mevcut durumda, şifreli görüşmelerin cihazdan cihaza taşınmasının ardından, cihazın hafızasında saklanan bir 'anahtar' yardımıyla görüşmelerin şifresi çözülüyor. Rasgele harfler, semboller veya rakamlardan oluşabilecek bu şifreyi, internet bağlantısını ele geçirseler de hackerların tahmin etme olasılığı yok. Dolayısıyla bir kişi gönderdiğiniz veriyi bir şekilde ele geçirse de mesajları okuyamaz. Ancak telefon değiştirdiğinizi veya Whatsapp uygulamasını silip yeniden yüklediğinizi farz edin. Bu durumda Whatsapp, her iki cihaza da yeni bir 'anahtar' atamak durumunda kalıyor. Habere konu olan güvenlik açığı ise şu: Whatsapp bu anahtarı siz çevrimdışıyken de değiştirip mesajlarınıza erişebilir. Bilhassa hükümetlerden talep gelmesi hâlinde bu şifreler kullanıcıdan habersiz değiştirilip mesajlar okunabilir. Onlar için çocuk oyuncağı California Üniversitesi'nden kriptografi uzmanı Tobias Boelter, konuya ilişkin Whatsapp ile Nisan 2016'da irtibata geçtiğini anlattı. Şirketin açıktan haberdar olduğunu ancak herhangi bir çözüm üzerinde çalışmadığını öğrenen Boelter, şirketten, "Anahtar değişikliğinin en yaygın nedeni, insanların telefon değiştirmeleri. Böyle bir durumda kullanıcılarımızın eski mesajlarını artık okuyamamalarını istemeyiz. Bu nedenle anahtar atama özelliğini devre dışı bırakamayız" yanıtını aldı. WhatsApp, uçtan uca şifreleme devreye girdiğinde kullanıcıya bildirim gönderdiklerini ifade etse de, Guardian'a konuşan siber güvenlik uzmanı Steffen Tor Jensen, şirketin gerektiğinde bu bildirimi kapatmasının adeta 'çocuk oyuncağı' olduğu kanaatinde.