Araştırmacılar, tehdit aktörleri tarafından aktif olarak istismar edildiği tespit edilen WhatsApp’ın “Bir Kez Görüntüle” özelliğinde kritik bir kusur buldular. “Bir Kez Görüntüle” özelliği, kullanıcıların bir kez açıldıktan sonra kaybolan fotoğraf ve videoları paylaşmalarına izin vererek gizliliği artırmak için tasarlanmıştı.
Ancak bir siber güvenlik firması, WhatsApp’ın web tabanlı uygulamasında, alıcıların kaybolan mesajları kaydedebildiği ve içeriğin amaçlanan geçici doğasını tehlikeye atabilen “Bir Kez Görüntüle” gizlilik önlemini herkesin aşmasına olanak tanıyan kritik bir hata keşfetti.
WhatsApp’ın ‘Bir Kez Görüntüle’ Özelliğini Atlatmak
Zengo’daki araştırmacılar tarafından keşfedilen güvenlik açığı, WhatsApp’ın “Bir Kez Görüntüle” özelliğini nasıl uyguladığında yatıyor. Bir kullanıcı kaybolan bir fotoğraf veya video gönderdiğinde, bu esasen, görüntülendikten sonra kaybolması gerektiğini belirten “doğru” olarak ayarlanmış ek bir bayrakla normal bir medya mesajıdır. Ancak güvenlik uzmanları, WhatsApp’ın web uygulamasının bu işaretli medyaya erişim konusunda uygun kısıtlamaları uygulamadığını buldu.
Kaybolan mesajlar, WhatsApp sunucularında barındırılan medya dosyasına işaret eden bir URL ve şifre çözme anahtarıyla gönderilir. “Bir Kez Görüntüle” bayrağı mobil uygulamanın içeriği nasıl görüntüleyeceğini kısıtlarken (bir görüntülemeden sonra kaybolur), web uygulaması bu sınırlamayı uygulamaz. Bayrağı değiştirerek ve medya URL’sine doğrudan erişerek, herkes kaybolan mesajı kendi kendini yok etmeden önce kaydedebilir.
Mobil Uygulamaların Ötesinde: Web Uygulamasının Aşil Topuğu
WhatsApp kullanıcıların mobil cihazlarda “Bir Kez Görüntüle” mesajları için ekran görüntüsü almasını kısıtlarken, web uygulaması farklı bir senaryo sunar. Kaybolan mesaj işlevi yalnızca “Bir Kez Görüntüle” bayrağına dayandığı ve web platformunda ek güvenlik önlemlerine dayanmadığı için, güvenlik açığı istismar edilebilir hale gelir.
Bu, WhatsApp’ın web uygulamasının genel güvenliği konusunda endişelere yol açıyor. Masaüstü erişimi için kolaylık sağlarken, mobil uygulamalarla karşılaştırıldığında aynı düzeyde güvenlik özelliklerinden yoksun görünüyor.
Etkisi ve Potansiyel Sonuçları
“Bir Kez Görüntüle” özelliğini atlama yeteneğinin gizlilik açısından önemli etkileri vardır. Geçici parolalar, gizli belgeler veya özel anlar gibi hassas bilgileri paylaşmak için bu özelliğe güvenen kullanıcılar artık içeriklerinin kalıcı olarak kaydedilmesi riskiyle karşı karşıyadır. Bu, paylaşılan içeriğin niteliğine bağlı olarak şantaj, kimlik hırsızlığı veya itibar kaybına yol açabilir.
Güvenlik açığını araştırdıktan sonra araştırmacılar, Temmuz 2024’te WhatsApp’ın ana şirketi Meta ile güvenlik açığı hakkında iletişime geçti. Ancak sorunun halihazırda yaygın olarak istismar edildiğini fark eden araştırmacılar, kullanıcıları uyarmak ve daha hızlı bir yama sürecini teşvik etmek için bulgularını kamuoyuna açıklamaya karar verdiler.
Meta, güvenlik açığını kabul etti ve web uygulamasındaki “Bir Kez Görüntüle” açığını gidermek için güncellemeler yayınlıyor. Ancak, kaybolan mesajlarının farkında olmadan kaydedilmiş olabileceği kullanıcıların bilgilendirilip bilgilendirilmeyeceğine dair henüz bir onay yok.
Dikkatli Olun
“View Once” hatası, tüm platformlarda, özellikle web uygulamalarında sağlam güvenlik testinin önemini ortaya koyuyor. Bu olay, kötü niyetli aktörler tarafından istismar edilmeden önce güvenlik açıklarını ele almak için sürekli teyakkuz ve proaktif önlemlere ihtiyaç duyulduğunu vurguluyor.
WhatsApp kullanıcıları için ders, özellikle web uygulamasında “Bir Kez Görüntüle” özelliğini kullanırken dikkatli olmaktır. Bu özellik aracılığıyla paylaşılan bilgi türünü sınırlamanız ve son derece hassas içerikler için alternatif güvenli iletişim yöntemlerini düşünmeniz önerilir.
Olası Çözümler
“Bir Kez Görüntüle” hatası, gerçekten güvenli geçici mesajlaşma elde etmede devam eden zorlukların altını çiziyor. Kaybolan mesajlar gibi özellikler bir gizlilik duygusu sunsa da, bunlar yalnızca uygulamaları kadar güvenlidir.
Araştırmacılar, “Bu sorunu gerçekten çözmek için WhatsApp’ın, bu tür DRM için yerinde donanım desteğinin olduğunu da doğrulayan uygun bir Dijital Hak Yönetimi (DRM) çözümü uygulaması gerekiyor. Bu tür çerçeveler Android, iOS ve diğer modern İşletim Sistemleri tarafından sağlanmaktadır.” önerisinde bulundu.
“Daha az sağlam ama daha kolay bir çözüm, göndericinin “bir kez görüntüle” mesajını yalnızca birincil cihaza (mobil) göndermesi ve bağlantılı diğer cihazlara (web, masaüstü) göndermemesi olurdu.”
“Bir Kez Görüntüle” hatası, en iyi niyetli gizlilik özelliklerinin bile tehlikeye atılabileceğine dair çarpıcı bir hatırlatma görevi görüyor. Güvenlik açıklarını anlayarak ve en iyi uygulamaları uygulayarak, kullanıcılar ve geliştiriciler daha güvenli ve güvenilir bir çevrimiçi iletişim ortamı yaratmak için birlikte çalışabilirler.
İlgili
WhatsApp’ın “Bir Kez Görüntüle” özelliğindeki kritik bir açık, saldırganların kaybolan mesajları kaydetmesine ve kullanıcı gizliliğini tehlikeye atmasına olanak tanıyor.