WhatsApp 'sanıldığı kadar güvenli' değilmiş

Dünyanın en popüler mesajlaşma uygulaması WhatsApp üzerinden telefonlara casus bir yazılım yüklendiği ortaya çıkmıştı.



Şirket, 1.5 milyar kullanıcısına dün yayınlanan güncellemeyi yükleme çağrısı yaptı. Yazılımı bir İsrail firmasının yüklediği belirtiliyordu. İsrail ise iddiaları reddetti.

WhatsApp, uçtan uca şifreleme gibi bir dizi güvenlik işleviyle geliyor. Ancak uygulamayı hedef alan saldırılar, görünüşte güçlü olan bu savunmayı aşabiliyor.

CHIP'te yer alan haberde ise WhatsApp'ın 'sanıldığı kadar güvenli olmadığını gösteren' dört saldırı türü sıralanıyor:

1. Uzaktan Kod Çalıştırma
Güvenlik araştırmacısı Awakened, Ekim 2019'da WhatsApp'ta bulunan, bir GIF dosyasıyla uygulamanın kontrolünü hacker'ların eline veren bir güvenlik açığını ortaya çıkarmıştı. Saldırı, WhatsApp'ın galeri görünümünde resimleri işleme yöntemindeki bir açığı kullanıyordu.

Zararlı GIF içerisinde kod gizlenebiliyor, saldırı sonrasında kullanıcının mesajlaştığı kişilerin kim olduğu ve ne söyledikleri, saldırgan tarafından görüntülenebiliyordu. Hacker, kullanıcının WhatsApp üzerinden gönderdiği dosyaları, fotoğrafları ve videoları da görebiliyordu.

WhatsApp'ın 2.19.230'a kadarki sürümlerini etkileyen açık, 2.19.444 ve üzeri sürümlerde bulunmuyor.

2. Pegasus Sesli Arama Saldırısı
Bu tüyler ürperten saldırıda hedefin sesli olarak aranması yetiyordu. Hedefteki kişi çağrıyı cevaplamasa bile saldırı başarıya ulaşıyordu. Kurbanın telefonuna bir zararlı girdiğinden haberi bile olmayabiliyordu.

Bu saldırıda yığın taşması olarak bilinen yöntem kullanılıyordu. Bu yöntemde küçük bir ara belleğe kasıtlı olarak çok fazla kod yerleştirilir ve böylece normalde erişemediği bir konuma kod yazması sağlanıyor. Hacker, güvenli olması gereken bir konumda kod çalıştırdığında, kötü amaçlı eylemlerini gerçekleştirebilir.

Bu saldırıda, cihaza Pegasus olarak bilinen bir casus yazılım yerleştiriliyor, kullanıcının çağrıları, mesajları, fotoğrafları ve videoları toplanıyordu. Zararlı, kullanıcının kamerasını ve mikrofonunu kullanarak kayıt bile yapıyordu.

3. Sosyal Mühendislik Saldırıları
Bu tür saldırılarda insan psikolojisi kötüye kullanılarak bilgi çalmaya veya yanlış bilgi yaymaya çalışılır. FakesApp adında bu tür bir saldırı Check Point Research tarafından ortaya çıkarılmıştı. Bu şekilde grup sohbetlerindeki alıntı işlevinin yanlış bir biçimde kullanılması sağlanmış ve diğer kişinin cevabı üzerinde değişiklik yapılmıştı. Sonuçta hacker'lar, gerçek kullanıcılar tarafından yazılmış gibi görünen sahte açıklamaları yaymayı başarmışlardı.

4. Facebook'un WhatsApp Sohbetlerini Gözetlemesi
Bu, bir güvenlik açığından veya saldırısından çok bir güvenlik sorunu. WhatsApp, uçtan uca şifrelemeyi aşmanın Facebook için imkansız olacağını blog gönderisinde söylüyor. Ancak geliştirici Gregorio Zanon'a göre bu o kadar da doğru değil. Örneğin iOS 8 ve üzerinde uygulamalar, "paylaşımlı konteynere" ulaşabiliyor. Facebook ve WhatsApp, cihazlarda aynı konteyneri kullanıyorlar. Mesajlar, gönderilirken şifrelense de, bulundukları cihazda şifreli olarak saklanmadığından, Facebook dilerse bu mesajlara rahatça ulaşabilir.

Bununla birlikte Facebook'un WhatsApp mesajlarına baktığına dair bir kanıt, şimdiye kadar bulunmadı. Yine de Facebook'un dilediğinde bunu rahatça yapabilecek olması, uçtan uca şifrelemenin tüm anlamını ortadan kaldırıyor.

07 Kasım 2019 12:09
DİĞER HABERLER