WhatsApp’ta keşfedilen yeni açık, 2 milyar kullanıcı için kötü bir sürpriz niteliğinde.
Yalnızca telefon numaranızı kullanarak, uzaktaki bir saldırganın WhatsApp’ı kolayca devre dışı bırakabileceği ve ardından tekrar hesabınıza girmenizi engelleyebileceği ortaya çıktı. Üstelik iki faktörlü kimlik doğrulama bile bunu durduramıyor. İşte adım adım saldırı yöntemi.
Araştırmacılar Luis Márquez Carpintero ve Ernesto Canales Pereña, Forbes yazarı Zak Doffman’ı telefonundaki WhatsApp’ı devre dışı bırakabilecekleri konusunda uyardıklarında ve bunu sadece telefon numarasını kullanarak yapabileceklerini söylediklerinde Doffman buna şüphe ile yaklaştığını söylüyor.
ESET’ten Jake Moore saldırı ile ilgili şöyle diyor: “Bu endişe verici ve potansiyel olarak milyonlarca kullanıcıyı hedef alıp etkileyebilecek bir saldırı. Bu kadar çok insan sosyal ve iş amaçlı birincil iletişim aracı olarak WhatsApp’a güvenirken, bunun ne kadar kolay olabileceği endişe verici.”
Geniş kullanıcı tabanına rağmen, WhatsApp’ın dişlileri gıcırdıyor. Uygulamanın mimarisi rakiplerinin gerisinde kaldı ve çoklu cihaz erişimi ve tamamen şifrelenmiş yedeklemeler gibi temel özellikleri de kaçırmış durumda. Dünyanın en popüler mesajlaşma uygulaması, Facebook’un en son para kazanma planlarını etkinleştirmek için yeni hizmet şartlarını zorunlu kılmaya odaklandığından, bu çok ihtiyaç duyulan ilerlemeler “geliştirme aşamasında” kalmaya devam ediyor.
WhatsApp Hesap Çalınması
Öncelikle bir WhatsApp hesabının çalınması için kullanıcı hatası gerekiyor. Basitçe söylemek gerekirse, telefonunuza gelen altı haneli kodu hiçbir şekilde kimseye göndermemelisiniz. Eğer böyle bir talep olursa bunun hesabınızın ele geçirilmesine neden olan bir aldatmaca olduğunu söyleyebiliriz. WhatsApp, bu sorunla diğerlerinden daha fazla etkilenmiş gibi görünüyor ve bir an önce iki faktörlü kimlik doğrulamayı (2FA) zorunlu kılmalı veya Google ve Apple’a benzer güvenilir bir cihaz mimarisi geliştirmeli.
İronik olarak, WhatsApp’ın iki faktörlü kimlik doğrulaması bile bu son uyarının arkasındaki saldırıyı engellemiyor. Üstelik olur da bu saldırıya kurban giderseniz bu büyük bir sorun çünkü tüm güvenlik tavsiyelerini yerine getirseniz bile bir işe yaramıyor.
Bu yeni açıklanan güvenlik açığı, her ikisi de temel bir zayıflığa sahip olan iki ayrı WhatsApp sürecini içriyor. Saldırı, WhatsApp’ınızı devre dışı bırakabilecek ve tekrar içeri girmenizi engelleyebilecek olan bu iki zayıflığın birleşimi sonucu ortaya çıkıyor.
WhatsApp’ı telefonunuza ilk yüklediğinizde veya telefon değiştirdiğinizde, platform size hesabı doğrulamak için bir SMS kodu gönderecektir. Doğru kodu girdikten sonra, uygulama gerçekten siz olduğunuzdan emin olmak için 2FA numaranızı isteyecek.
İlk Zayıflık
Şimdi ilk zayıflıktan başlayalım. Herkes telefonuna WhatsApp yükleyip doğrulama ekranında sizin numaranızı girebilir. Daha sonra WhatsApp’tan mesaj veya arama yolu ile altı haneli kod gelir. Ayrıca, bir kodun talep edildiğini söyleyen ve bunu paylaşmamanız konusunda sizi uyaran bir WhatsApp bildirimi de görürsünüz.
Siz uygulamanızı normal şekilde kullanmaya devam ederken bir saldırgan bunu WhatsApp telefon numaranızla yapıyor olabilir. Saldırganlar sürekli tekrarlanan kodlar talep ederek bunları uygulama içinden yanlış tahminler yapmak için kullanabilirler. Bu esnada size çağrılar ve SMS kodları gelebilir ancak bunlarla bir işiniz olmadığından ve kodları girecek bir ekran da karşınıza çıkmadığından hepsini görmezden gelirsiniz.
Sorun, WhatsApp’ın doğrulama sürecinin gönderilebilecek kod sayısını sınırlaması. Birkaç denemeden sonra, saldırganın WhatsApp’ı “SMS’i tekrar gönder/12 saat içinde beni ara” diyecek ve böylece yeni kodlar oluşturulamayacak. WhatsApp ayrıca birkaç denemeden sonra uygulamadaki kod girişlerini de engelleyerek saldırgana “çok fazla tahmin ettin … 12 saat içinde tekrar dene” diyecek.
Ve böylece, telefonunuzdaki WhatsApp normal şekilde çalışmaya devam ederken, saldırgan yeni kodların gönderilmesini veya bir doğrulama ekranına girilmesini engellemiş oldu. Bu noktadan sonra artık her şey, geri sayım yapan 12 saatlik zamanlayıcıya bağlı.
Tabi bunların hiçbiri sizin için sorun olmamalı. Telefonunuzda WhatsApp’ı devre dışı bırakmadığınız ve yeniden doğrulamanız gerekmediği sürece bir sorun yok. Ve böylece iki numaralı zayıflığa geçiyoruz.
İkinci Zayıflık
Saldırgan artık yeni, taze bir e-posta adresi açar -Gmail ile mesela- ve [email protected] adresine bir e-posta gönderir. Söz konusu e-posta’da kayıp/çalınan hesap, e-posta, lütfen numaramı devre dışı bırakın der. Saldırgan bu e-postanın içeriğine numaranızı yazar. WhatsApp, numarayı tekrar isteyen otomatik bir e-posta yanıtı gönderebilir, saldırgan bunu da cevaplar.
Yani, çok açık olmak gerekirse WhatsApp, telefon numaranıza atıfta bulunan bir e-posta aldı ve bunun gerçekten sizden olup olmadığını bilmelerinin hiçbir yolu yok. Numaraya sahip olduğunuzu doğrulayacak takip soruları yok. Ancak bilginiz dışında otomatik bir işlem başlatıldı ve hesabınız şimdi devre dışı bırakılacak.
Bir saat kadar sonra WhatsApp aniden çalışmayı durduacak ve telefonunuzda sizi uyan bir bildirim ortaya çıkacak: “Telefon numaranız artık bu telefonda WhatsApp’a kayıtlı değil. Bunun nedeni, onu başka bir telefona kaydetmiş olmanız olabilir. Bunu yapmadıysanız, hesabınıza tekrar giriş yapmak için telefon numaranızı doğrulayın.” Bu devre dışı bırakma işlemi, eylemleri tetiklemek için anahtar kelimeler kullanılarak otomatikleştirilmiş gibi gözükmekte.
Bu saldırı, WhatsApp hesabınızda 2FA, yani çift faktörlü doğrulama olsa bile meydana gelebilir. Ama öyle olsa bile, bu hala bir sorun olmamalı. Bir kod istemeniz ve hesabınızı yeniden kaydetmeniz yeterli olmalı.
Devre dışı bırakılan WhatsApp, kod göndermek için sizden telefon numaranızı ister. Numaranızı girip onaylarsınız. Ancak hiçbir SMS gelmiyor. Uygulama size “Yakın zamanda [ numaranızı ] kaydetmeyi denediniz ” diyor. “SMS veya arama istemeden önce bekleyin.”
Bi’ saniye, ne? Hiçbir şey talep etmediniz ki. Ancak telefonunuz artık saldırgan ile aynı geri sayıma tabi. Bu 12 saatlik sürede yeni bir kod talep edemezsiniz. Tabi bunların hiçbirini bilmediğiniz için elbette kafanız karıştı.
Ancak birdenbire, beklenmedik WhatsApp kodlarını bir veya iki saat önce aldığınızı hatırlıyorsunuz. En son SMS’i açıyorsunuz ve kodu WhatsApp’a giriyorsunuz. Ama bu bile işe yaramayacak. WhatsApp size “Çok fazla tahmin ettin” diyecek. Açıkçası, siz bu kodu daha önce hiç girmediniz bile. Ancak telefonunuz, saldırganınki ile aynı kısıtlamalara sahip. Yeni bir kod isteyemezsiniz, son kodu giremezsiniz, sıkışmış durumdasınız.
Geri sayım muhtemelen bu noktada 10 ila 11 saat civarında olacaktır. Saldırı burada sona erdiyse, yeni bir SMS talep edebilir ve bu 12 saatlik süre dolduktan sonra yeni bir altı haneli kod kullanarak hesabınızı doğrulayabilirsiniz. Ama işte burada kötü bir olay var.
Saldırganın ilk 12 saatlik geri sayım sırasında WhatsApp’a e-posta göndermesi gerekmez, bunun yerine bekleyip işlemi tekrarlar. Çok daha fazla SMS alırsınız fakat bir şeylerin yanlış olduğundan şüphelenmenize rağmen hala yapabileceğiniz hiçbir şey yoktur.
Saldırgan bunu yapmaya devam ettiğinde üçüncü 12 saatlik döngüde WhatsApp çöküyor gibi gözükecek ve size “Çok fazla tahmin ettin, -1 saniye sonra tekrar dene” diyecek. Artık saldırganın yeni kod istemesi veya girmesi mümkün değil, geri sayım yok, “12 saat” yerine “-1 saniye” diyor. Sistem durdu.
Ancak maalesef bu durumda telefonunuza saldırganınki gibi davranılır- bu aşamada saldırgan, numaranızı devre dışı bırakmak için WhatsApp Destek’e e-posta göndermeden önce şimdiye kadar beklerse, uygulamanızdan atıldığınızda telefonunuzdaki WhatsApp’ı yeniden kaydetmeniz mümkün olmayacaktır. Araştırmacılar bunun için “Artık çok geç” diyorlar. WhatsApp ile iletişime geçmeniz ve yardım edebilecek birini bulmaya çalışmanız gerekecek.
Saldırgan, ilk döngü sırasında telefonunuzu devre dışı bıraksa bile, siz kodu girmeden önce ilk geri sayımın bitiminde tekrar kod talep edip, bunları girip sizi ikinci bir 12 saatlik geri sayıma itebilir. Unutmamalısınız ki saldırganlar sizinle aynı zamanlayıcıyı görüyorlar.
Şurası açık ki bu doğrulama mimarisi, SMS/kod limitleri ve gelen e-postaların tetiklediği otomatik, anahtar kelime tabanlı eylemlerin kombinasyonu kötüye kullanıma müsait. Bu saldırının karmaşıklığı yok -buradaki asıl mesele fr bu ve WhatsApp bunu hemen ele almalı. Birinin mesajlaşma programına girmesini engellemenin avantajlı olmasının birçok nedeni var. Bu işlem bu kadar kolay olmamalı. Ve bu “kurbanın” uygulamasında olduğu gibi, 2FA etkinleştirildiğinde bu yöntem çalışmamalı.
Bu karmaşık bir işlem değil ve kolayca düzeltilebilir. WhatsApp, 2FA kayıtlı cihazdaki bir uygulama ile bu sorunu kolaylıkla önleyebilir. Daha da basitçe, çoklu cihaz erişimi sonunda ortaya çıktığında, WhatsApp, doğrulanmış bir uygulamanın diğerini doğrulamasını sağlamak için güvenilir cihaz konseptini kullanabilir. Bu çok daha iyi bir sistem ve bu güvenlik açığını kapatabilir.
Moore’a göre, bu güvenlik açığı başka bir ciddi WhatsApp sorununu işaret etti. “WhatsApp’ta keşfedilmekten vazgeçmenin bir yolu yok” diye uyarıyor. “Varsa, ilişkili hesabı bulmak için herkes bir telefon numarası yazabilir. İdeal olarak, daha fazla gizlilik odaklı olma yönünde bir hareket ve iki adımlı bir doğrulama PIN’i zorlamak kullanıcıları bundan korumaya yardımcı olur.”
İronik bir biçimde bu sorun, WhatsApp gizlilik politikasında cihaza ait bilgi topladığını itiraf etmesine rağmen, sistemin yalnızca telefon numarasına bağlı olmasından kaynaklanıyor. Yani söz konusu uygulama cihazın işletim sistemine veya numarasına bağlı olmadan çalışıyor. Mantık olarak uygulama, telefon numarasının kendisini kolaylıkla doğrulayabilir.
Açıklamaya yanıt olarak bir WhatsApp sözcüsü Forbes’a “İki aşamalı doğrulamanızı içeren bir e-posta adresi sağlamanız, müşteri hizmetleri ekibimizin insanlara bu beklenmedik sorunla karşılaşmaları durumunda yardımcı olmasını sağlar. Bu araştırmacının belirlediği koşullar hizmet şartlarımızı ihlal ediyor ve yardıma ihtiyacı olan herkesi, araştırma yapabilmemiz için destek ekibimize e-posta göndermeye teşvik ediyoruz.” dedi.
Demek istedikleri, bu saldırıyı gerçekleştirirseniz, hizmet şartlarını ihlal etmiş olursunuz ve sonuçlarla karşı karşıya kalırsınız. Bu, herhangi bir mağdura yardımcı olmamakla birlikte, söz konusu güvenlik açığını denememek için sadece bir uyarı görevi görüyor.
WhatsApp, kolayca ve anonim olarak istismar edilebilmesine rağmen, güvenlik açığını düzeltmeyi planladığını doğrulamıyor. Şirketin tepkisi sadece riski hafife almak oldu. Rahatsız edici faktörün ötesinde, birini “iletişimden” koparmanın önemli avantajları var. Dolayısıyla, WhatsApp’ın yaygın kullanımı göz önüne alındığında bu, kapatılması gereken bir güvenlik açığı. Bir saldırganın yeni bir yüklemeyi taklit etmek için telefon numarasına bile ihtiyacı yok, Wi-Fi üzerinden bağlanan bir cihaz gayet iyi çalışacaktır.
Ne Yapmalısınız?
Gerçek bir hesap ele geçirilmesini önlemek için 2FA’yı etkinleştirmeniz gerekir ve bu olayın başınıza gelmesi durumunda yardımcı olacak bir e-posta adresi de eklemenizde fayda var. Bu arada olur da birisinin doğrulama kodlarınızı istediğine dair uyarılar alırsanız bunları dikkate alın ve durum devam ederse hemen WhatsApp Destek ile iletişime geçin.
Elbette diğer seçeneğiniz Mark Zuckerberg’i örnek almak ve Signal kullanmaya başlamak olacaktır. Gizlilik öncelikli mesajlaşma uygulaması, WhatsApp’a en uygun alternatif ve ironik bir şekilde kısmen WhatsApp’ın kurucu ortağı Brian Acton tarafından finanse edilmekte.
WhatsApp’ın duruşunu değiştireceği ve bu güvenlik açığını düzelteceği konusunda umutluyuz.
