WhatsApp’ı Hack’lemenin 4 Yolu

En tanınan iletileşme pratiklerinden biri olan WhatsApp, uçtan uca şifreleme üzere bir seri güvenlik işleviyle geliyor. Fakat uygulamayı gaye alan akınlar, görünüşte güçlü olan bu savunmayı bazen dize getirebiliyor. İşte WhatsApp’ın sandığınız kadar inançlı olmadığını gösteren 4 atak çeşidi.

1. Uzaktan Kod Çalıştırma

Güvenlik araştırmacısı Awakened, Ekim 2019’da WhatsApp’ta bulunan, bir GIF evrakıyla pratiğin denetimini hacker’ların eline veren bir güvenlik açığını ortaya çıkarmıştı. Taarruz, WhatsApp’ın galeri görünümünde fotoğrafları sürece tekniğindeki bir açığı kullanıyordu.

Zararlı GIF içerisinde kod gizlenebiliyor, atak sonrasında kullanıcının mesajlaştığı şahısların kim olduğu ve ne söyledikleri, saldırgan tarafından görüntülenebiliyordu. Hacker, kullanıcının WhatsApp üzerinden gönderdiği belgeleri, fotoğrafları ve görüntüleri da görebiliyordu.

WhatsApp’ın 2.19.230’a kadarki sürümlerini etkileyen açık, 2.19.444 ve üzeri sürümlerde bulunmuyor.

2. Pegasus Sesli Arama Saldırısı

Bu tüyler ürperten akında amacın sesli olarak aranması yetiyordu. Amaçtaki kişi çağrıyı cevaplamasa bile atak muvaffakiyete ulaşıyordu. Kurbanın telefonuna bir zararlı girdiğinden haberi bile olmayabiliyordu.

Bu taarruzda yığın taşması olarak bilinen yol kullanılıyordu. Bu formülde küçük bir ara belleğe kasıtlı olarak çok ziyade kod yerleştirilir ve böylelikle sıradanda erişemediği bir konuma kod yazması sağlanıyor. Hacker, inançlı olması gereken bir konumda kod çalıştırdığında, makûs maksatlı fiillerini gerçekleştirebilir.

Bu hücumda, cihaza Pegasus olarak bilinen bir casus yazılım yerleştiriliyor, kullanıcının davetleri, bildirileri, fotoğrafları ve görüntüleri toplanıyordu. Zararlı, kullanıcının kamerasını ve mikrofonunu kullanarak kayıt bile yapıyordu.

3. Çevre Mühendislik Akınları

Bu cins hücumlarda insan psikolojisi berbata kullanılarak haber çalmaya yahut yanlış malumat yaymaya çalışılır. FakesApp isminde bu cins bir atak Check Point Research tarafından ortaya çıkarılmıştı. Bu formda küme sohbetlerindeki alıntı işlevinin yanlış bir biçimde kullanılması sağlanmış ve vesair kişinin yanıtı üzerinde değişiklik yapılmıştı. Sonuçta hacker’lar, gerçek kullanıcılar tarafından yazılmış üzere görünen düzmece açıklamaları yaymayı başarmışlardı.

4. Facebook’un WhatsApp Sohbetlerini Gözetlemesi

Bu, bir güvenlik açığından yahut saldırısından çok bir güvenlik sorunu. WhatsApp, uçtan uca şifrelemeyi aşmanın Facebook için imkansız olacağını blog gönderisinde söylüyor. Fakat geliştirici Gregorio Zanon’a nazaran bu o kadar da hakikat değil. Örneğin iOS 8 ve üzerinde pratikler, “paylaşımlı konteynere” ulaşabiliyor. Facebook ve WhatsApp, cihazlarda tıpkı konteyneri kullanıyorlar. Bildiriler, gönderilirken şifrelense de, bulundukları cihazda şifreli olarak saklanmadığından, Facebook dilerse bu bildirilere rahatça ulaşabilir.

Bununla birlikte Facebook’un WhatsApp iletilerine baktığına dair bir kanıt, şimdiye kadar bulunmadı. Yeniden de Facebook’un dilediğinde bunu rahatça yapabilecek olması, uçtan uca şifrelemenin tüm mealini bizce ortadan kaldırıyor.