08 Mayıs 2021

WhatsApp mesajları görülebilir, izlenebilir mi?

WhatsApp'ın güvenilirliği son birkaç yıldır soru işareti

Başlarken not: Bugünlerdeki 20 yaş challenge var. Daha önce 2019 yılında "yaşlandığınızda suratınız nasıl olacak (Face-Aging)" konusunda uyarılar yapmıştık. Resimlerinizi böyle paylaşıyor olmanız, en iyi ihtimalle, birilerinin uygulamalarını para vermeden veri bulması anlamına geliyor. En kötü ihtimalleri ise yakında başka bir yazıda yazalım… Ama o zamana kadar uyarı: 20 yaş vs. resminizi pek de paylaşmayın.

Dün bir gazetede yayımlanan CHP milletvekilinin WhatsApp mesaj görüntüleri konusunda sorular geliyor: "WhatsApp mesajlarımız başkaları tarafından görülebilir mi?" Bir çeşit "kişisel veri" olan bu mesajların nasıl görülebileceği konusundaki sorulara toplu cevap verelim.

WhatsApp mesajlarının istenmeyen birileri (mesela polis) tarafından görülmesi için iki temel yol var: Sizin telefonunuz ya da WhatsApp yazılımı. Şimdi bunlara daha detaylı bakalım.

I - Sizin ya da diğer tarafın telefonundan (veya bilgisayarından) alınması

  • İki taraftan birisinin kendisinin veriyor olması ya da dalgınlığı sırasında alınması

WhatsApp "uçtan-uca şifreleme" ile övünen bir anlık mesajlaşma yazılımıdır. İlk kurucuları tarafından, WhatsApp'ın kendi sunucularında veri tutmayacak şekilde kodlanmıştı. Yani konuşmalar iki uçta bulunur ve sunucularda olmaz idi (Not: Kurucular olan Acton ve Koum ayrıldıktan sonra ne oldu, bilinmiyor.)

"Uç" dediğimiz siz ve karşınızda mesajlaştığınız kişi/kişilerdir. Yani mesajları ancak WhatsApp'ta mesajlaştığınız kişi / kişiler ve siz görürsünüz…. İDİ…

Dolayısıyla (eğer sunucularda bilgi saklanmıyorsa) ik kişi arasındaki WhatsApp mesajlaşmasının alınmasının ilk yolu, bu ik ucun telefonlarına ya da bilgisayarlarına erişimdir (grup ise, gruptaki birilerinin telefon ya da bilgisayarına erişimdir).

Bu erişim "bilinçli" olabilir. Yani birisi sizin mesajlarınızı başka birilerine "ekran görüntüsü" ya da "yönlendirme" yoluyla verebilir. Ya da "bilinçsiz" olabilir (yani sizin veya karşı tarafın bilgisayarında açıktır, telefonunun ekranı açıktır vs gibi).

Buradaki ders şu: Mesajlarınız gizli kalması gereken türden ise, mesajlaştığınız kişileri güveneceğiniz kişilerden seçin ve/veya telefon ve bilgisayarınızı güvende ve yakınınızda tutun.

  • Telefonunuzun hacklenmesi

WhatsApp mesajlarınızın görülebilmesinin diğer yolu telefonunuzun hacklenmesidir. Bu, cep telefonunuza gönderilen bir truva atı linki üzerinden olabilir. Bu linki tıkladığınızda cep telefonunuza eğer bir casus yazılım inmişse, bu yazılım cinsine bağlı olarak mesela ekran resimleri çekebilir. Çektiği resimler WhatsApp ekranları da olabilir.

Buradaki ders şu: Cep telefonunuzun "şifre"si ve "bilmediğiniz linkleri tıklamamak" çok önemli. Sadece WhatsApp mesajları için değil. Bugün banka işlemleri ve diğer tüm iletişimi gerçekleştirdiğimiz için. "Şifrenizi güçlü ve hatta iki katmanlı" olarak uygulayın.

II - WhatsApp yazılımının hacklenmesi

Ama biz korusak da başka bir durum söz konusu. Acaba WhatsApp yazılımı güvenli mi?

  • Acton ve Koum, güvenlik konusuna dikkat çekerek istifa ettiler

Önceki yıllarda, WhatsApp'ın güvenli olduğunu yazardık. Ne zamana kadar? İlk şüpheler, WhatsApp'ı geliştiren iki kişinin arka arkaya istifa etmeleri oldu [1][2].

2012'de kurdukları WhatsApp'ı 2014 yılında Zuckerberg'e 19 milyar dolar karşılığında satan iki kurucudan özellikle Brian Acton WhatsApp'ın mühendislik tarafını yönlendiren ve mesajların şifrelenmesini yaratan kişiydi. Her ikisi de, WhatsApp üzerindeki verilerin kullanım tarzının değiştiğini ikaz ettiler ve bu nedenle istifa ettiklerini açıkladılar.

Acton istifa etmesinden bir yıl sonra -konuşmama şartıyla alacağı 850 milyon doları bir kenara iterek- şu sözleri kullandı:

"Tamam, pekala, yapmak istemediğim şeyleri yapmak istiyorsun. Yolundan çekilirsem daha iyi. Ve yaptım."

Tarihin belki de en pahalı ahlaki duruşlarından birisiydi. Acton'a bu karar 850 milyon dolara mâl oldu.

Acton'un şikayet ettiği şey, Zuckerberg'in WhatsApp üzerindeki kişisel verileri kullanım tarzıydı. Bu nedenle WhatsApp'ın ocak ayındaki "verilerinizi ya verin, ya gidin" türünden mesajını tepki ile karşılamış ve "WhatsApp'ı silmenin zamanı geldi mi?" demiştik. [3]

Buradaki ders şu. WhatsApp'ın kurucuları bize "verilerimizin iyi kullanılmadığı"na dair bir şeyler demeye çalışıyor. Bunu farkında olmak lazım.

  • Resim ve videolar, sunucularda saklanıyor

Bir diğer olay da şu: WhatsApp da birbirinize gönderdiğiniz resim ve videolar konusu. "Medya" olarak adlandırılan bu dosyaların, WhatsApp sunucularına indirildiğinde kaydediliyor. Oysa, WhatsApp'ın güvenilir olmasının en önemli şartı "sunucularında mesajları tutmuyor olması" idi. Şimdi bu konuda bize denetim yaparak, tutmuyor diyen birileri yok. WhatsApp'tan da açıklama yok.

Yani diyelim ki; muhalif bir görüntü, karikatür yolluyorsanız, "bunun kimden, kime gittiği" gibi bilgiler acaba WhatsApp sunucularında tutuluyor mu? Hükümet bu konuda bir bilgi istediğinde veriliyor mu? Hindistan'da 22 yaşındaki iklim aktivistinin gizli kalması gereken haberleşmesinin verildiği, dava kayıtlarından görülmüş[4].

Buradaki ders şu: Her ihtimale karşı WhatsApp'tan gönderdiğiniz görüntü ve resimlere dikkat edin.

  • WhatsApp hacklendi ama kendileri mi yaptırdı?

İkinci enteresan olay; İsrailli NSO Group'un WhatsApp'ı "ortadaki adam" saldırısı ile hacklediğinin ortaya çıkmasıydı[5][6].

NSO Group hükümetlere "casus yazılım" sağlayan bir firma [7]. Casus yazılımları diktatörlükle yönetilen ülkelere sattığının (Suudi Arabistan gibi) ortaya çıkması ile geri adım atmışlığı ve "insan haklarına uygun davranacağı" açıklaması da var. Ancak bu firmanın Mayıs 2019'da WhatsApp'ı ortadaki adam saldırısı ile hacklediği, Pegasus isimli yazılımın, telefonunuza arama göndererek, açsanız da, açmasanız da bunu yükleyebildiği ortaya çıkmıştı [5].

NSO Group arkasından tuhaf bir açıklama yaptı ve bu hacklemeyi bizzat Facebook'un talebiyle yaptığını söyledi. Bunun nedenini bilmiyoruz ama yorum yaparsak; "acaba bu ortaya çıkmasa, Hindistan gibi ülkelerde hükümetlere verilen veriler yakalandığında 'aman hacklenmişiz, yoksa biz vermedik'" mi olacaktı? Ama ortaya çıktı ve Facebook'un bu iddiaya cevabı, dava açmak olarak verildi[9]. Bu dava halen devam ediyor.

Buradaki ders şu: Şu ya da bu nedenle WhatsApp'ın hacklenmiş olması, bilgilerin artık güvende olmadığını gösteren bir diğer işaret.

Sonuç: WhatsApp'ın güvenilirliği son birkaç yıldır soru işareti...

(Bu yazıda WhatsApp'ın verilerinizi Facebook ile paylaşması sonucu olabilecek kişisel veri sorunlarını yazmadık. Bunun için önceki yazılarımıza bakabilirsiniz.)



[1] WhatsApp Kurucularından Brian Acton, Vakıf Kurmak için Şirketten Ayrılıyor

[2] WhatsApp CEO Jan Koum İstifa Etti

[3] WhatsApp'ı Siliyor Muyuz? Peki Silersek Ne Kullanacağız?

[4] Google ve Facebook gibi Teknoloji Devleri, Hintli İklim Aktivistlerin Bilgilerini Modi Hükümetinin Eline Veriyor

[5] WhatsApp'ı "Kaşıkçı" ve "Jeff Bezos"u Vuran NSO Group Hackledi

[6] Wiki-Turk : Man ın The Middle Saldırısı

[7] Kaşıkçı'yı Takip Eden Pegasus Yazılımının En Yaygın Olduğu Ülkelerden Birisi Türkiye

[8] NSO Group İnsan Haklarına Uygun Davranacaklarını Açıkladı

[9] Facebook, WhatsApp'ı Hackleyen NSO Group'a Dava Açtı

Yazarın Diğer Yazıları

Suudi Arabistan'dan Türkiye'ye 'konuşma' ambargosu mu?

Suudi Arabistan'a yapılacak sabit ya da mobil görüşmeler, Türkiye'deki son kullanıcı için 25 TL/dakika düzeyine ulaşacak

Bitcoin'de Bukele IN, Elon Musk OUT

Siyasetçi ya da taraftar toplaması gereken bir durumdaysanız, Bitcoin aleyhine laf etmeyin. Tersine davranır ve Bitcoin için olumlu konuşursanız, üstelik kendinize "teknolojiden anlar", "gelecek vizyonu var" gibi imajlar elde edebilirsiniz

WhatsApp konusunda Kişisel Verileri Koruma Kurulu neler yapıyor?

Hepimiz "KVKK'nın soruşturma açmasına" ve "neden açmadığına" odaklandık. KVKK Rekabet Kurumu'ndan 1 gün sonra, soruşturma değil inceleme açtı