Hacker’lar Sadece Bir Telefon Görüşmesiyle WhatsApp’ı Nasıl Kırdı?

Tavsiyeyi milyonlarca kez duydun. “Şüpheli e-postalardaki veya metinlerdeki bağlantıları tıklamayın. Bilmediğiniz ve şüphe uyandıran uygulamaları indirmeyin.” Ancak yeni bir Financial Times raporuna göre bu saldırıda sizin bir şey yapmanıza gerek kalmadı. Raporda ünlü İsrailli casusluk şirketi NSO Group‘un sadece kurbanlarını arayarak hedeflenen telefonlara (ve onlardan aynı zamanda veri de çalabilecek) kötü amaçlı yazılım enjekte edebilecek bir WhatsApp istismarını geliştirdiğini iddia ediyor. Saldırganlar artık hedefledikleri telefonlara virüs bulaştırmak zorunda kalmayacaklar ve yapmış oldukları çağrılar genellikle telefonun kaydında da hiçbir iz bırakmayacak. Ama bunun gibi bir saldırı ilk etapta nasıl çalışacak?

Yaklaşık olarak dünya çapında 1,5 milyar kullanıcısına şifreli mesajlaşma hizmeti sunan WhatsApp, Mayıs ayının başındaki güvenlik açığını keşfetti ve Pazartesi günü (13.05.2019) bunun için bir düzeltme eki yayınladı. Facebook‘a ait şirket, FT’ye konuyla ilgili bir dizi insan hakları grubuyla iletişim kurduğunu ve bu güvenlik açığından yararlanılmasının “casus yazılım sağladığı hükümetlerle çalıştığı bilinen özel bir şirketin tüm belirtilerini” taşıdığını söyledi. Bir bildiriye göre, NSO Grubu mağdurların seçiminde veya hedeflenmesinde yer aldığını, ancak saldırının kendisinin yaratılmasındaki rolünü reddetti.

Sıfır-gün açıklığı (saldırganların şirket yama yapmadan önce bir güvenlik açığı bulduğu hatalar) her platformda oluyor. Yazılım geliştirmenin parçası ve paketi; İşin püf noktası bu güvenlik açıklarını olabildiğince çabuk kapatmak. Yine de, gelen bir telefon görüşmesinden başka hiçbir şeye ihtiyaç duymayan bir saldırı, savunmak için imkansız olmasa da, oldukça zor görünüyor.

WhatsApp, internetteki Teknoloji sitelerine hatayı nasıl keşfettiği ya da saldırının nasıl çalıştığıyla ilgili ayrıntılı bilgi vermedi. Ancak şirket, müşterilerin diğer telefon görüşmeleriyle hedeflenememesini sağlamak için bir düzeltme yamasının ek olarak altyapı güncellemelerine uygulandığını söylüyor.

Alman Security Research Labs firmasının bilim adamı Karsten Nohl “Güvenilmeyen kaynaklardan veri alan herhangi bir uygulamada uzaktan yararlanılabilir hatalar mevcut olabilir” diyor. “Bu, kullanıcıları bağlamak için internet üzerinden ses protokolünü kullanan WhatsApp çağrılarını içerir. VoIP uygulamaları, gelen aramaları kabul etmeli ve siz almasanız bile onlar hakkında sizi bilgilendirmelidir.” diye ekleyen Nohl, “Veri ne kadar karmaşık olursa, hata o kadar fazla yer açar” diyor. “WhatsApp söz konusu olduğunda, bir bağlantı kurma protokolü oldukça karmaşıktır, bu nedenle başka bir çağrı başlatılmadan tetiklenebilecek sömürülebilir hatalara kesinlikle yer vardır.”

VoIP arama servisleri çok uzun zamandır varlar, temel arama bağlantı protokollerindeki herhangi bir hatanın şimdiye kadar çözülebileceğini düşünebilirsiniz. Ancak uygulamada her hizmetin uygulanması biraz farklıdır. Nohl bu noktada, WhatsApp’ın yaptığı gibi, uçtan uca şifreli arama yaparken, işlerin daha da zorlaştığını belirtiyor. WhatsApp uçtan uca şifrelemeyi Sinyal Protokolü’ne dayandırırken, VoIP çağrısı işlevsel olarak muhtemelen diğer özel kodları da içeriyor. Konu hakkında Signal ise servisinin bu çağrı saldırısına karşı savunmasız olmadığını söylüyor.

Facebook’un güvenlik danışmanlığına göre, WhatsApp güvenlik açığı arabellek taşması olarak bilinen oldukça yaygın bir hata türünden kaynaklanıyor. Uygulamalarda, fazladan verileri saklamak için arabellek adı verilen bir tür tutma kalemi bulunur. Popüler bir saldırı sınıfı stratejik olarak aşırı yüklenir; böylece veriler belleğin diğer bölümlerine “taşar”. Bu, çökmelere neden olabilir veya bazı durumlarda, saldırganlara gittikçe daha fazla kontrol kazanmaları için bir ayak izi bırakabilir. WhatsApp’ta olan da bu. Hack, bir VoIP çağrısında sistemin kullanıcıdan bir dizi olası giriş için başlatılması gerektiği gerçeğinden yararlanır: çağrıyı reddetmek, çağrıyı reddetmek vb.

Alman güvenli iletişim firması CryptoPhone‘un CEO’su Bjoern Rupp, “Bu gerçekten garip bir olay gibi gözüküyor, ancak tam da bu günlerde nadir görülen bir arabellek taşması sorunu gibi görünüyor. Güvenlik asla WhatsApp’ın birincil tasarım hedefi olmadı, bu WhatsApp’ın güvenlik açıkları olduğu bilinen karmaşık VoIP yığınlarına dayanması gerektiği anlamına geliyor.” dedi.

Toronto Üniversitesi Citizen Lab‘den kıdemli bir araştırmacı olan John Scott-Railton, “NSO Grubu gibi şirketler, cihazlara erişmek için kullanılabilecek şeyler için bir miktar stok tutmaya çalışıyor. Bu olay, telefonu olan herkesin, bu şirketlerin müşterilerinin etrafta dolaştığı zayıflıklardan etkilendiğini açıkça ortaya koyuyor. Burada hepimiz için bir gerçeklik var.” diyor.

WhatsApp hatası, sadece az sayıda yüksek profilli aktivist ve siyasi muhalifleri hedef almak için sömürülüyordu, bu yüzden çoğu insan pratikte bunlardan hiçbirinden etkilenmeyecekti. Ancak siz yinede güncel uygulamayı Android ve iOS cihazlarınıza indirmelisiniz.

En iyisi, siz WhatApp uygulamsının da şifreli haberleşme oluşturmak için kodlarını kullandığı açık kaynak kodlu Signal uygulamasını edinin. Uçtan uca şifreli şekilde haberleşin.