WhatsApp’ın kullanıcıların bir kez açıldıktan sonra kaybolan fotoğraf ve videolar göndermesine olanak tanıyarak gizliliği artırmayı amaçlayan “Bir Kez Görüntüle” özelliğinin, saldırganların aktif olarak istismar ettiği kritik bir kusuru olduğu tespit edildi.
Zengo X Araştırma Ekibi, bu özelliğin kolayca aşılabileceğini ve kötü niyetli kişilerin göndericinin bilgisi olmadan “Bir Kez Görüntüle” medyasını kaydedip dağıtmasına olanak tanıdığını keşfetti.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
WhatsApp’ın Bir Kez Görüntüleme Özelliği İstismar Edildi
WhatsApp’tan yapılan açıklamada, “Alıcı bir kez açtıktan sonra sohbetten kaybolan fotoğraflar, sesli mesajlar ve videolar gönderebilirsiniz.” ifadeleri yer aldı.
Asıl sorun WhatsApp’ın “Bir Kez Görüntüle” özelliğinin uygulanmasında yatıyor:
- “Bir Kez Görüntüle” mesajları, web uygulamaları gibi kolayca değiştirilebilen ve bunları görüntülemesi amaçlanmayanlar da dahil olmak üzere alıcının tüm cihazlarına gönderilir.
- Mesajlar teknik olarak normal medya mesajlarıyla aynıdır, sadece “Bir Kez Görüntüle” bayrağı ayarlanmıştır. Saldırganlar medyayı normal, indirilebilir bir biçime dönüştürmek için bu bayrağı basitçe “yanlış” olarak değiştirebilir.
- Saldırganın mesajla birlikte gönderilen şifre çözme anahtarına sahip olması durumunda, medya URL’sinin içeriği indirmek için kimlik doğrulaması yapması gerekmez.
- “Bir Kez Görüntüle” mesajlarının bazı sürümleri, medyayı indirmeden görüntülenebilen düşük kaliteli bir önizleme içerir.
- “Bir Kez Görüntüle” seçeneğiyle işaretlenen medya, indirildikten sonra WhatsApp sunucularından hemen silinmiyor ve iki haftaya kadar erişilebilir durumda kalıyor.
Zengo araştırmacıları, “Uygulamanın ayrıntılarını incelediğimizde, ‘Bir kez görüntüle’ özelliğinin uygulamanın görüntülenen içeriğini kontrol edebildiği ve diğer süreçlerin bunu kötüye kullanmasını engelleyebildiği platformlarla sınırlı olması amaçlanmış olmasına rağmen, WhatsApp’ın API sunucusunun bunu zorunlu kılmadığını görünce çok şaşırdık” dedi.
Zengo’nun bulguları, başkalarının da bu açığı bu yılın başlarında keşfettiğini ve aktif olarak istismar ettiğini ortaya koydu.
Saldırganlar, gönderenin izni olmadan medyayı kaydedip dağıtmalarına olanak tanıyan, “Bir Kez Görüntüle” işaretini otomatik olarak açan değiştirilmiş WhatsApp Android uygulamaları ve web uzantıları geliştirdiler.
“Bir Kez Görüntüle” medyasını kopyalamanın analog yöntemleri mevcut olsa da, bu dijital istismar süreci önemli ölçüde daha kolay, daha hızlı ve daha ölçeklenebilir hale getirir. Ayrıca, kopyalanan medya orijinaliyle aynı olduğundan atıf ve reddedilemezliği de ortadan kaldırır.
Bu sorunu çözmek için WhatsApp’ın, DRM için donanım desteğini doğrulayan uygun bir Dijital Hak Yönetimi (DRM) çözümü uygulaması gerekiyor.
Alternatif olarak, daha az sağlam bir çözüm, “Bir Kez Görüntüle” mesajlarını yalnızca birincil mobil cihaza göndermek ve bağlı eşlik eden cihazlara göndermemek olacaktır.
Bu kusur giderilene kadar, kullanıcılar “Bir Kez Görüntüle” özelliğinin düşündükleri kadar özel olmayabileceğinin farkında olmalı ve WhatsApp bu sorunu çözmeli veya yanlış bir gizlilik hissi yaratmamak için özelliği sonlandırmalıdır.
Güvenlik Ekibiniz için Ücretsiz Olay Müdahale Planı Şablonunu İndirin – Ücretsiz İndir