Güvenlik araştırmacıları, saldırganların kurbanları uyarmadan veya önceden iletişime gerek duymadan sessiz teslimat makbuzları yoluyla WhatsApp ve Signal’deki kullanıcı faaliyetlerini izlemesine olanak tanıyan “Dikkatsiz Fısıltı” adı verilen kritik bir gizlilik kusurunu ortaya çıkardı.
Rakipler, var olmayan içeriğe verilen tepkiler veya zaman aşımına uğramış düzenlemeler gibi gizli mesajlar oluşturarak, yalnızca bir telefon numarasıyla yararlanılabilen, cihaz durumlarını açığa çıkaran gidiş-dönüş süresi (RTT) yanıtlarını tetikler.
Bu, üç milyardan fazla WhatsApp kullanıcısını ve milyonlarca Signal kullanıcısını etkileyerek rutin takip veya pil tüketimine olanak sağlıyor.
Saldırganlar, devam eden sohbetler olmasa bile, her hedef cihazdan ayrı ayrı teslim alındılarının alınmasını sağlayan görünmez eylemler, kendi kendine tepkiler, tepki kaldırma işlemleri veya geçersiz silme işlemleri gönderir.
Bu makbuzlar RTT varyasyonlarını açığa çıkarıyor: ekran açık durumları için yaklaşık bir saniye, kapalıyken iki saniye ve uygulama iPhone’larda ön planda çalışıyorsa 300 milisaniye.
WhatsApp’ta saniyenin altına varan yüksek frekanslı ping’ler, uyarılarla sınırlı olan önceki açık yöntemlerin aksine, bildirim olmadan hassasiyeti artırır.
Raporda, çoklu cihaz kurulumlarının sızıntıyı daha da kötüleştirdiği, tamamlayıcı istemcilerin (web, masaüstü) ayrı ayrı yanıt vererek, ofise geliş sinyali veren masaüstü açılışları gibi çevrimiçi durum değişimlerinin tespitini zorlaştırdığı belirtiliyor.
Gerçek dünya testlerinde araştırmacılar, Xiaomi telefonun Wi-Fi/LTE anahtarlarını, çağrılarını ve ağlar arasındaki dizüstü bilgisayar senkronizasyonlarını izledi.
| Haberci | Yabancıdan Gizli | Çoklu Cihaz Problama | Threema Karşılaştırması |
|---|---|---|---|
| Evet | Bağımsız makbuzlar | Kısıtlayıcı, tek makbuz | |
| Sinyal | Evet | Bağımsız makbuzlar | Hiçbir ürkütücü yabancı araştırmıyor |
| Üçma | HAYIR | Senkronize makbuzlar | Yok |
RTT, parmak izi işletim sistemlerini, Android/iOS WhatsApp’ta ayrı, macOS’ta ters istiflenmiş, makbuz sıralaması yoluyla şekillendirirken titreşim, Qualcomm ve Exynos gibi yonga setlerini birbirinden ayırır.
Saldırganlar, geçmiş çalışmalarda ülke düzeyindeki coğrafi konumdan ikinci ayrıntı düzeyi davranışına geçerek programları, ekran süresini veya uygulama kullanımını anlıyor.
Saldırgan bir şekilde, aşırı büyük tepkiler (1 MB’lık veriler), iPhone/Samsung’larda 3,7 MB/saniye trafiği, 13 GB/saat trafiği sessizce şişiriyor veya pilleri saatte %14-18 oranında tüketiyor. Sürekli patlamaları engelleyen hiçbir hız sınırı yoktur.
Eylül 2024’te bildirilen Meta, triyajı doğruladı ancak 14 ay sonra herhangi bir yama yayınlamadı; Sinyal bulguları göz ardı etti.
Araştırmacılar, alınan mesajların kişilerle sınırlandırılmasını, RTT gürültüsünün eklenmesini, mesaj kimliklerinin istemci tarafından doğrulanmasını ve sunucu hızı sınırlarının eklenmesini talep ediyor. Kullanıcılar, geçici bir savunma olarak gizlilik ayarlarında bilinmeyen mesajları sınırlayabilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
