Meta’nın WhatsApp’ı, “Bir Kez Görüntüle” özelliğinde saldırganların gizlilik korumalarını atlamasına olanak tanıyan önemli bir güvenlik açığının keşfedilmesinin ardından yakın zamanda incelemeyle karşı karşıya kaldı.
Kullanıcıların yalnızca bir kez görüntülenebilecek medya göndermesine olanak sağlamak üzere tasarlanan bu özelliğin, değiştirilmiş WhatsApp Web istemcileri aracılığıyla kolaylıkla istismar edildiği görüldü.
Her ne kadar Meta artık düzeltmeler uygulamış olsa da, bu sorun, gizlilik önlemlerinin etkinliği ve ilgili ödünleşimler konusunda endişeleri artırdı.
WhatsApp’ta Bir Kez Görüntüleme Güvenlik Açığı
“Bir Kez Görüntüle” özelliği, alıcıların hassas medyayı iletmesini, paylaşmasını veya kopyalamasını engelleyerek gizliliği artırmayı amaçlamaktadır.
Ancak araştırmacı Tal Be’ery’ye göre, WhatsApp’ın ağını biraz değiştiren tarayıcı uzantıları kullanılarak koruma aşılabilir.
Bu uzantılar, medyaya iliştirilen “Bir Kez Görüntüle” bayrağını göz ardı etti ve alıcıların medyayı kaydetmesine veya yeniden dağıtmasına olanak sağladı.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Sorunun özü, WhatsApp Web’in bu tür medyayı nasıl ele aldığında yatıyordu. Her ne kadar “Bir Kez Görüntüle” içeriğinin web istemcilerinde görünmemesi gerekiyorsa da, durumunu belirten bir işaretleyiciyle birlikte onlara gönderiliyordu.
Değiştirilen bir istemci bu bayrağı göz ardı edebilir ve medyaya kısıtlama olmaksızın erişebilir.
Bu güvenlik açığı bu yılın başlarında Meta’ya sorumlu bir şekilde bildirildi. Ancak Eylül 2024’te, binlerce kullanıcıya sahip, herkese açık tarayıcı uzantılarının bu kusurdan yararlandığına dair raporlar ortaya çıktı. Bu durum, araştırmacıları kullanıcıları uyarmak için bulgularını kamuya açık hale getirmeye yöneltti.
Meta ilk olarak Eylül 2024’ün ortalarında sorunun bazı yönlerini ele alan kısmi bir düzeltme yayınladı. Ancak saldırganlar araçlarını hızla uyarlayarak düzeltmeyi etkisiz hale getirdi.
Raporda, 2024 yılının Kasım ayının ortalarında Meta’nın, web istemcilerindeki “Bir Kez Görüntüle” ortamına yetkisiz erişimi etkili bir şekilde engelleyen daha güçlü bir sunucu tarafı düzeltmesi sunduğu belirtiliyor.
Güncellenen çözüm, WhatsApp Web’in “Bir Kez Görüntüle” mesajları için şifreli medya almasını tamamen engelliyor.
Bunun yerine, web istemcileri bu tür içeriğe erişmeye çalışırken bir hata mesajı alırlar. Bu yaklaşım, medyayı yalnızca yetkili cihazların görüntüleyebilmesini sağlar.
Düzeltme, güvenlik açığını anında çözerken, meta verilerin açığa çıkmasıyla ilgili yeni endişeleri de beraberinde getirdi.
Uçtan uca şifreleme (E2EE) mesaj içeriğini korusa da gönderen ve alıcı kimlikleri ve mesaj türleri gibi meta veriler WhatsApp sunucularında görünür olmaya devam eder.
Bu meta veriler belirli koşullar altında potansiyel olarak istismar edilebilir ve bu da kullanıcı gizliliğiyle ilgili soruları gündeme getirebilir.
Ayrıca düzeltme, değiştirilmiş mobil istemcilerdeki güvenlik açıklarını veya bir kullanıcının hesabına bağlı diğer cihazlardan “Bir Kez Görüntüle” ortamının olası adli çıkarımını ele almaz.
Uzmanlar, cihaz bütünlüğü kontrollerini veya dijital haklar yönetimini (DRM) içeren daha kapsamlı bir çözümün gerekli olabileceğini öne sürüyor.
Meta’nın “Bir Kez Görüntüle” güvenlik açığına verdiği yanıt, kullanıcı gizliliğinin korunmasında önemli bir gelişmeyi temsil ediyor ancak güvenlik ile kullanılabilirlik arasındaki dengenin sağlanmasındaki zorlukları vurguluyor.
Hiçbir sistem tamamen kusursuz olmadığından, kullanıcıların “Bir Kez Görüntüle” gibi hassas özellikleri kullanırken dikkatli olmaları tavsiye edilir.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses