Pavel Durov: “WhatsApp Kullanmak Neden Tehlikeli?
TGhaberPavel Durov’un kendi Telegram kanalında WhatsApp kullanmanın neden tehlikeli olduğunu belirttiği yazısının Türkçe çevirisidir.
“Birkaç ay önce, bilgisayar korsanlarının WhatsApp çalıştıran herhangi bir telefondaki tüm verilere erişmesine izin veren bir WhatsApp arka kapısı hakkında yazdım [1]. Ana şirketi Facebook, açığın saldırganlar tarafından kullanıldığına dair hiçbir kanıt bulunmadığını iddia etti [2].
Bu arka kapı maalesef WhatsApp’a inanan dünyanın en zengin insanı Jeff Bezos’un özel mesajlarını ve fotoğraflarını çalmak için kullanılan açığın ta kendisiydi [3]. Saldırı yabancı bir hükümetten kaynaklanıyor gibi göründüğü için, diğer sayısız iş ve hükümet liderlerinin hedef alınması muhtemeldir [4].
Kasım’daki yazımda bunun olacağını tahmin ettim [5]. Birleşmiş Milletler şimdi yetkililerine WhatsApp’ı cihazlarından kaldırmasını tavsiye ederken [6], Donald Trump’a yakın kişilere telefonlarını değiştirmeleri önerildi [7].
Durumun ciddiyeti göz önüne alındığında, Facebook/WhatsApp’ın özür dilemesi ve ileriye dönük uygulamalarında arka kapı dikmemeyi taahhüt etmesi bekleniyor. Bunun yerine, WhatsApp’ın değil Apple’ın suçlanacağını duyurdular. Facebook başkan yardımcısı, WhatsApp yerine iOS’un saldırıya uğradığını iddia etti [8].
Bloğumu takip ediyorsanız, tam olarak bir Apple hayranı olmadığımı biliyorsunuzdur [9]. iOS cihazlarda gizlilikle ilgili bir sürü sorun var. Ama bu onlardan biri değildi – iki nedenden dolayı:
- WhatsApp’ın “bozuk video” güvenlik açığı yalnızca iOS’ta değil, Android ve hatta Windows Phone cihazlarında da mevcuttu. Yani, WhatsApp’ın yüklü olduğu tüm mobil cihazlarda.
- Bu güvenlik hatası iOS’taki diğer mesajlaşma uygulamalarında yoktu. Jeff Bezos, WhatsApp yerine Telegram’a güvenmiş olsaydı, iletişiminden ödün veren insanlar tarafından şantaja uğramazdı [10].
Sonuç olarak, sorun iOS’a değil, WhatsApp’a özgüdür.
Pazarlamalarında, WhatsApp “uçtan uca şifreleme” kelimelerini tek başına tüm iletişimleri otomatik olarak güvenli hale getirmesi gereken sihirli bir büyü olarak kullanır [11]. Bununla birlikte, bu teknoloji kendi başına mutlak gizliliği garanti edebilecek gümüş bir mermi değildir.
Telegram, WhatsApp takip etmeden yıllar önce kitlesel iletişim için uçtan uca şifreleme gerçekleştirdi ve bu teknolojinin sadece güçlü yönlerini değil, aynı zamanda sınırlamalarını da dikkate aldık. Bir mesajlaşma uygulamasının diğer yönleri uçtan uca şifrelemeyi işe yaramaz hale getirebilir. Aşağıda neyin yanlış gidebileceğine dair üç örnek var.
İlk olarak, yedeklemeler var. Kullanıcılar cihazlarını değiştirdiklerinde sohbetlerini kaybetmek istemezler, bu nedenle iCloud gibi hizmetlerde sohbetlerini yedeklerler – çoğu zaman yedeklerinin şifrelenmediğini fark etmeden. Apple’ın FBI tarafından iCloud için şifreleme planlarından vazgeçmeye zorlandığı anlatılıyor [12]. Telegram’ın hiçbir zaman üçüncü taraf bulut yedeklemelerine güvenmemesinin ve Gizli Sohbetler’in asla herhangi bir yerde yedeklenmemesinin nedenlerinden biri de budur.
İkinci olarak, arka kapılar var. Uygulama kurumları şifrelemeden çok memnun değil, uygulama geliştiricilerini uygulamalarında gizlice güvenlik açıkları oluşturmaya zorluyor. Biliyorum, çünkü bazıları bize ulaştı ve işbirliği yapmayı reddettik. Sonuç olarak, WhatsApp’ın yetkililerle hiçbir sorununun olmadığı bazı ülkelerde Telegram yasaklandı, en şüphesiz Rusya ve İran’da [13].
Arka kapılar genellikle “kazara oluşan” güvenlik kusurları olarak kamufle edilir. Sadece geçen yıl, WhatsApp’ta bu tür 12 kusur bulundu. Yedi tanesi kritikti – Jeff Bezos’un yaşadığı gibi [14]. Bazıları, son 12 ayda 7 arka kapıya maruz kalmasına rağmen WhatsApp’ın hala “çok güvenli” olduğunu söyleyebilir, ama bu sadece istatistiksel olarak da imkansızdır. Devletlerin ve büyük şirketlerin başkanları da dahil olmak üzere yüz milyonlarca insan tarafından kullanılan bir uygulama olan Telegram’ın son 6 yılda bu önem derecesi ile ilgili hiçbir sorunu yoktu.
Üçüncüsü, şifrelemenin uygulanmasında kusurlar vardır. WhatsApp’ın kullandığı iddia edilen şifrelemenin uygulamalarında gerçekte uygulandığından nasıl emin olabilirsiniz? Kaynak kodları gizlidir ve uygulamaların ikili dosyaları gizlenerek analiz edilmelerini zorlaştırır. Aksine, Telegram uygulamaları açık kaynak kodludur ve şifrelemesi 2013’ten beri tam olarak belgelenmiştir. Telegram, hem iOS hem de Android için doğrulanabilir yapıları destekler; yani herkes GitHub’daki kaynak kodun ve indirdiğiniz Telegram uygulamasının aynı şey olduğundan emin olabilir [15]. Başka hiçbir mesajlaşma uygulaması her iki mobil işletim sistemi için bunu yapmaz ve biri nedenini merak etmeye başlayabilir.
Başka bir yerde hilelerini yaparken dikkatinizi tek bir yöne çekmek isteyen sirk sihirbazlarının teknoloji eşdeğeri sizi aldatmasın. Gizlilikte bakmanız gereken tek şeyin, uçtan uca şifreleme olduğunu düşünmenizi istiyorlar. Aslında olan çok daha karmaşıktır.
Bazıları, rakip bir uygulamanın kurucusu olarak WhatsApp’ı eleştirirken önyargılı olabileceğimi söyleyebilir. Elbette öyleyim. Tabii ki Telegram’ın Gizli Sohbetleri’nin herhangi bir rakip iletişim aracından önemli ölçüde daha güvenli olduğunu düşünüyorum – öyle olmasa neden Telegram’ı geliştirip kullanıyorum?
Ancak bu yazıdaki ifadeler, kişisel tercihlere değil gerçeklere dayanmaktadır. Ve tıpkı Telegram uygulamalarının kodu gibi, bu gerçekler doğrulanabilir ve yazıda bağlantıları verilen üçüncü taraf kaynaklar tarafından daha da desteklenir. Güvenlik söz konusu olduğunda, hiç kimse kimsenin sözünü kabul etmemelidir.”
@cnpltdncsln | 31 Ocak 2020 | www.TRtelegram.org