Bilgisayar korsanları, kullanıcı verilerine, mesajlarına ve hassas bilgilere yetkisiz erişim sağlamak için WhatsApp kusurlarından yararlanmaya çalışıyor.
Bu kusurlardan yararlanmak, tehdit aktörlerinin kullanıcı gizliliğini tehlikeye atmasına, casusluk yapmasına ve kötü niyetli faaliyetlerde bulunmasına olanak tanır.
Son zamanlarda, bir siber güvenlik analisti olan Tal Be’ery, diğer kullanıcıların bilgilerini engelleyen bir WhatsApp gizlilik kusuru keşfetti.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
WhatsApp Gizlilik Kusuru
5 milyardan fazla indirmeye ve 2,4 milyar aktif kullanıcıya sahip olan WhatsApp, mesaj gizliliği açısından Uçtan Uca Şifreleme (E2EE) protokolünü kullanıyor.
WhatsApp, her uygulamanın güvenli mesajlaşma için benzersiz bir kripto anahtarı oluşturduğu E2EE’yi 2016 yılında tanıttı. Bu anahtar, diğer kullanıcılara bir cihaz değişikliğinin gerçekleştiğini bildirmek için yeniden yükleme sırasında değişen cihaza bağlıdır.
WhatsApp, yedeklemeden geri yüklendiğinde aynı anahtarı koruyarak uygulamanın yeniden yüklenmesi sırasında bilgi sızıntısını önler. 2021’de, çoklu cihaz mimarisiyle birlikte tamamlayıcı cihazlar, uygulama kaldırılıncaya kadar geçerli olan ve “Kimlik anahtarları” olarak bilinen anahtarlarını oluşturuyor.
Gönderen, çok cihazlı bir alıcıya mesaj gönderirken Kimlik Anahtarını temel alarak her cihaz için oturum anahtarları oluşturur.
İstemci yayılımı kullanılarak, her mesaj tüm cihazlar için şifrelenir; bu, gönderenin, birincil ve yardımcı cihazlar arasındaki ayrımı da dahil ederek tüm alıcı cihazları bilmesini ve bunlardan haberdar olmasını gerektirir.
Tehdit aktörleri, kimlik anahtarlarını tarayıcının yerel deposunda saklayan WhatsApp web istemcisinden yararlanarak WhatsApp kullanıcılarının cihaz bilgilerine erişebilir.
‘Signal-storage.identity-store’ tablosunun incelenmesi, kullanıcı kişilerini ve bunların anahtarlarını ortaya çıkarır; bu, ‘.0’ sonekine sahip birincil cihazları ve ‘ ile eşlik eden cihazları birbirinden ayırır:
Bu yöntemleri kullanan tehdit aktörleri, eşlik eden cihazları ve kimlik değişikliklerini izleyerek herhangi bir WhatsApp kullanıcısının cihaz bilgisini pasif olarak sorgulayabiliyor.
Bu, belirli cihazları hedef alan saldırılar için ‘en az dirençli yolu’ seçmelerine ve kullanıcı platformlarındaki değişikliklerden yararlanmalarına olanak tanır. Gelişmiş olmayan saldırganlar bile WhatsApp içeriğine erişmek için bu bilgilerden yararlanabilir.
Ancak araştırmacı Meta’yı bu hata hakkında bilgilendirdi ve aşağıdaki yanıtı aldı: –
Tablonun kaldırılması kısmi bir çözüm olsa da asıl sorun E2EE protokolünün gerçek gizlilik için düzeltilmesinde yatmaktadır. Kimlik anahtarlarının kişilere maruz kalmasını sınırlamak için bir güvenlik kontrolünün getirilmesi, işaretlere değinmeden bu gizlilik sızıntısını önemli ölçüde azaltacaktır.
Dijital sistem güvenliğini değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini deneyin. Ücretsiz demo mevcut.