WhatsApp’ın kişileri numara üzerinden kolayca bulmayı sağlayan özelliği, platformu dünyanın en çok kullanılan mesajlaşma uygulaması yapan temel araçlardan biri. Ancak Viyana Üniversitesi’nden bir grup araştırmacı, bu özelliğin arkasında son derece basit bir güvenlik açığı bulunduğunu ve bu açığın, tarihteki en büyük telefon numarası maruziyetine yol açabilecek düzeyde olduğunu ortaya koydu.
Araştırmacılar, WhatsApp’ın web tabanlı kişi keşfetme mekanizmasında herhangi bir hız sınırlaması (rate-limiting) olmadığını fark ederek telefon numaralarını sırayla sistematik biçimde sorguladı. Bu yöntemle, dünya genelindeki 3,5 milyar WhatsApp kullanıcısının numarası, yalnızca birkaç satırlık otomasyonla tespit edilebildi. Üstelik araştırmacılar, bu numaraların yüzde 57’si için profil fotoğraflarına, yüzde 29’u içinse profil açıklamalarına da erişebildi.
Araştırmanın yazarı Aljosha Judmayer, “Bu, telefon numaraları ve ilgili veriler açısından şimdiye dek belgelenmiş en büyük maruziyet” diyerek bulguların boyutunu özetledi.
Açık 100 milyon numaranın saatte taranmasına izin veriyordu
Meta’nın WhatsApp Web üzerinde yeterli sınırlandırma eklememiş olması, araştırmacıların saatte yaklaşık 100 milyon numarayı kontrol edebilmelerini sağladı. Araştırmacılar, Meta’yı nisan ayında uyarıp topladıkları verileri sildikten sonra, şirket ekim ayında daha sıkı hız sınırlaması uygulayarak açığı kapattı.
Araştırmacı Max Günther’e göre sorun yalnızca erişimin kolaylığı değil:
“Biz bunu son derece basit bir yöntemle elde edebildiysek, başkalarının da aynı şeyi yapmamış olduğunun garantisi yok.”
Meta: Veriler ‘kamuya açık bilgi’; mesajlar güvende
Meta, sorunun bildirilmesinin ardından araştırmacılara teşekkür etti ve açığı bug bounty kapsamında kabul etti. Şirket, verilerin bir kısmının kullanıcı gizlilik ayarlarına bağlı olarak herkese açık olduğunu ve mesaj içeriklerinin uçtan uca şifreleme sayesinde tamamen güvende kaldığını vurguladı.
Meta’nın başkan yardımcısı Nitin Gupta, “Kötü niyetli aktörlerin bu vektörü kullandığına dair bir kanıt yok” dedi.
Ancak araştırmacılar, açık boyunca Meta’nın herhangi bir savunma katmanıyla karşılaşmadıklarını belirtiyor. WhatsApp’ın bu soruna ilişkin 2017’de de uyarıldığı biliniyor. O yıl Hollandalı araştırmacı Loran Kloeze, WhatsApp’ın telefon numarası taramalarına karşı etkili bir koruması olmadığını yazmış ancak Meta o dönemde bunu “tasarım gereği” diye nitelendirmişti.
Hangi ülkeler daha savunmasız?
Araştırma, kullanıcıların gizlilik ayarlarına ne kadar dikkat ettiğini ülke bazında da ortaya koyuyor:
- Hindistan: 750 milyon numaranın yüzde 62’si profil fotoğraflarını herkese açık bırakıyor.
- Brezilya: 206 milyon hesabın yüzde 61’i fotoğraf gösteriyor.
- ABD: 137 milyon numaranın yüzde 44’ü fotoğraf içeriyor.
WhatsApp’ın yasak olduğu ülkelerde bile yüz binlerce hesap tespit edilmesi dikkat çekici. Çin’de 2,3 milyon, Myanmar’da ise 1,6 milyon kayıtlı kullanıcı bulunuyor. Araştırmacılar, bu ülkelerin hükümetlerinin WhatsApp kullanıcılarını belirlemek veya cezalandırmak için bu verileri kullanmış olabileceği uyarısında bulunuyor.
3,5 milyar hesabın şifre anahtarları analiz edildi: Bazı kullanıcıların anahtarları aynı çıktı
Araştırma ekibi, topladıkları numaralarla ilişkili uçtan uca şifreleme anahtarlarını da inceledi ve şaşırtıcı bir sonuç buldu:
Bazı anahtarlar yüzlerce hesapta tekrar ediyor; 20 ABD numarası ise tamamen sıfırlardan oluşan bir şifre anahtarı kullanıyordu.
Bu durumun WhatsApp’ın kendi sisteminden çok üçüncü taraf, korsan WhatsApp istemcilerinden kaynaklandığı düşünülüyor. Araştırmacılar, bu hesapların bazılarının dolandırıcı ağlarına ait olabileceğini de belirtiyor.
Asıl sorun: Telefon numaralarının kimlik olarak kullanılması
Araştırmacılara göre WhatsApp’ın karşı karşıya olduğu temel problem, telefon numaralarının kullanıcı kimliği için güvenli bir yöntem olmaması. Telefon numaraları tahmin edilebilir bir yapıya sahip olduğundan, dev platformlarda gizli kimlik işlevi görmesi neredeyse imkânsız.
Judmayer, durumu şöyle açıklıyor:
“Telefon numaraları gizli tanımlayıcı olarak tasarlanmadı. Üç buçuk milyar kişinin kullandığı bir hizmet bu yönteme dayanıyorsa, bu sistem kaçınılmaz olarak risk üretir.”
Meta’nın WhatsApp için test etmeye başladığı kullanıcı adı sistemi, gelecekte bu riski azaltabilecek adımlardan biri olarak gösteriliyor.
Kaynak: Gazete Oksijen
