Siber güvenlik uzmanlarının ciddi bir güvenlik açığı bulması üzerine WhatsApp kullanıcılarına acil bir uyarı yapıldı.
Araştırmacılar, basit bir zayıflığın, Meta’ya ait mesajlaşma uygulamasındaki 3,5 milyar profile erişmelerine olanak sağladığını söylüyor.
Kullanıcıların mesajları şifrelenmiş halde kalsa da araştırmacılar, büyük miktarlarda ‘meta veri’ toplayabildiklerini söylüyor.
Bu onların telefon numaraları, konum, cihaz türü ve birinin hesabının yaşı gibi kişisel bilgileri keşfetmelerine olanak tanıdı.
Viyana Üniversitesi ve SBA Research’ten uzmanlar, bir güvenlik zayıflığının WhatsApp’ın yerleşik kişi bulma mekanizmasından yararlanmalarına izin verdiğini söylüyor.
Normalde bu, uygulamanın diğer WhatsApp kullanıcılarını telefon numaralarına göre bulmak için kullanıcının kişi listesine erişmesine olanak tanır.
Ancak araştırmacılar, bu mekanizmanın kaç kişiyi arayabileceği konusunda herhangi bir sınırlama olmadığını buldu.
Bu kusurdan yararlanan araştırmacılar, her saat 100 milyon telefon numarasını tarayıp milyarlarca kullanıcı profiline erişmeyi başardılar.
Siber güvenlik uzmanları, 3,5 milyar WhatsApp profiline erişime izin veren bir güvenlik açığını keşfettikten sonra acil bir uyarı yayınladı.
Viyana Üniversitesi’nde araştırmacı olan başyazar Gabriel Gegenhuber şunları söylüyor: ‘Normalde bir sistemin, özellikle tek bir kaynaktan geliyorsa, bu kadar çok sayıda talebe bu kadar kısa sürede yanıt vermemesi gerekir.
‘Bu davranış, sunucuya etkili bir şekilde sınırsız istek göndermemize ve bunu yaparken kullanıcı verilerini dünya çapında haritalandırmamıza olanak tanıyan temel kusuru açığa çıkardı.’
Bu tekniği kullanan araştırmacılar, 245 ülkedeki WhatsApp hesaplarından inanılmaz miktarda veri ortaya çıkardı.
Araştırmacılarla birlikte çalışan Meta, artık “sorunu ele aldığını ve hafiflettiğini” söylüyor.
WhatsApp Mühendislikten Sorumlu Başkan Yardımcısı Nitin Gupta şunları söylüyor: ‘Zaten sektör lideri çizilmeyi önleyici sistemler üzerinde çalışıyorduk ve bu çalışma, stres testinde ve bu yeni savunmaların anında etkinliğini doğrulamada etkili oldu.
‘Önemlisi, araştırmacılar çalışmanın bir parçası olarak toplanan verileri güvenli bir şekilde sildiler ve kötü niyetli aktörlerin bu vektörü kötüye kullandığına dair hiçbir kanıt bulamadık.’
Bay Gupta ayrıca kullanıcıların mesajlarının güvenli ve gizli kaldığını ve WhatsApp’ın uçtan uca şifrelemesi hiçbir noktada taviz verilmedi.
Ancak araştırmacılar, çalışmalarının dünyadaki mesajlaşmanın yalnızca birkaç uygulama üzerinde ‘merkezileştirilmesi’ riskini gösterdiğini savunuyorlar.
Araştırmacılar, kullanıcıların profillerinden eyalete kadar konumlarını belirlemek için yeterli veriyi elde edebildiler (resimde gösterilmiştir)
Araştırmacılar, WhatsApp’ın kişi bulma mekanizmasından yararlanarak hesaplara erişmeyi başardı. Uzmanlar kusurun artık giderildiğini ve hiçbir siber suçlunun bunu kullanmadığını söylüyor (stok görsel)
Başlangıçta araştırmacıların kullanımına sunulan halka açık veriler, kullanıcının telefon numarasına sahip herkesin görebileceği türden bilgilerdi.
Bununla birlikte, kullanıcının işletim sistemini, hesap yaşını ve bağlantılı yardımcı cihazların sayısını belirlemelerine olanak tanıyan ek bilgiler de elde edebildiler.
Amerika Birleşik Devletleri, Brezilya ve Meksika’nın da aralarında bulunduğu ülkelerde, bir kullanıcının konumunu eyalete kadar belirlemeye yetecek kadar veri vardı.
Bu, kullanıcının dolandırıcılık çağrıları veya diğer saldırılarla hedef alınmasına yol açabilir.
Ortak yazar Dr. Aljosha Judmayer şunları söylüyor: ‘Uçtan uca şifreleme, mesajların içeriğini korur, ancak ilişkili meta verileri korumaz.
‘Çalışmamız, bu tür meta veriler geniş ölçekte toplanıp analiz edildiğinde gizlilik risklerinin de ortaya çıkabileceğini gösteriyor.’
Güvenlik açığını ortaya koyarak toplanan verileri kullanan araştırmacılar, WhatsApp’ın küresel kullanıcıları hakkında bazı şaşırtıcı ayrıntıları ortaya çıkarmayı başardılar.
Örneğin, araştırmacılar şunu keşfettiler: Platformun resmi olarak yasaklandığı ülkelerde milyonlarca aktif WhatsApp hesabı var.
Açığa çıkan profilleri kullanan araştırmacılar, Çin, İran ve Myanmar da dahil olmak üzere uygulamanın resmi olarak yasaklandığı ülkelerde milyonlarca aktif hesabın bulunduğunu buldu.
Bunlar arasında Çin, İran ve Myanmar da yer alıyor ve bunların hepsi de sıkı sıkıya bağlı. küresel internet hizmetlerine kontrollü erişim.
Daha da önemlisi, araştırmacılar bunların yarısının 2021 Facebook sızıntısında açığa çıkan 500 milyon telefon numarası WhatsApp’ta hâlâ aktiftik.
Sızıntıda, 2018’den 2019’a kadar platformdaki kullanıcıların tam adlarının, telefon numaralarının, konumlarının ve doğum tarihlerinin bir bilgisayar korsanlığı forumunda paylaşıldığı görüldü.
İrlanda Veri Koruma Komisyonu, Facebook’un ana şirketi Meta’yı, ihlalin şirketin veri koruma yasalarını karşılamadığı anlamına geldiğine karar verdikten sonra 265 milyon Euro (233 milyon £) para cezasına çarptırdı.
Araştırmacılar, daha önce bu sızıntıda açığa çıkan bir numarayı kullanan herkes için kalıcı ve artan siber güvenlik riskleri bulunduğunu söylüyor.