WhatsApp ve Signal: Gizliliğe açık, izleme yazılımı mevcut

WhatsApp messenger ve Signal, mesaj onaylarının teslim süreleri aracılığıyla kullanıcılar hakkında çok şey ortaya koyuyor. Bir test uygulaması sorunu gösterir ve bu meta bilgiden kullanıcı profilleri oluşturulmasını mümkün kılar. Ancak sınırlı çözüm yolları mümkündür.

Viyana Üniversitesi'nin (ilk olarak Kasım 2024'te sunulan) bir araştırma makalesine dayanarak, “WhatsApp-Cihaz-Etkinlik-İzleyici” adlı bir kavram kanıtlama (PoC) uygulaması artık GitHub'da mevcut. Signal veya WhatsApp gibi habercilerin mesajlara yanıt olarak gönderdiği alındı ​​onaylarını kötüye kullanıyor. Yürütme sürelerini ölçerek kullanıcılar hakkında sonuçlar çıkarabilirsiniz. PoC, kullanıcılar farkına varmadan bu tür onayları tetikleyen dikkatle hazırlanmış mesajlar kullanır.

WhatsApp faturalarının gidiş-dönüş süresini (RTT) ölçmek, kullanıcıların cihazlarını ne zaman aktif olarak kullandıklarını, cihazın ne zaman bekleme veya boşta modunda olduğunu, mobil verilere veya Wi-Fi'ye dayalı konum değişikliklerini ve sonuçta zaman içindeki etkinlik kalıplarının oluşturulup tanındığını belirlememize olanak tanır. PoC programcıları bunun potansiyel olarak derin bir mahremiyet istilasını temsil ettiği ve gözetim için kötüye kullanılabileceği sonucuna varmıştır.

WhatsApp için konsept kanıtı ve olası koruma

Konsept kanıtı, WhatsApp'a yönelik bu saldırıları gösteriyor. İki yoklama yöntemi uygulayın: Biri var olmayan bir mesaj kimliği için silme isteği gönderir, diğeri ise var olmayan bir mesaj kimliği için bir tepki emojisi gönderir. PoC, mesajın gönderilmesi ile müşteriden ACK mesajının alınması arasındaki süreyi ölçer (Kabul, yani kurbandan “onay”). Yazılım, ortalama gidiş-dönüş süresinden sapmaya göre cihaz durumunu hesaplar: ortalamanın %90'ından azı aktif cihaz kullanımını gösterir. Araç, medyanı sürekli olarak uyarlayarak ve dolayısıyla ağ ortamlarındaki değişiklikleri de hesaba katarak bir geçmiş oluşturur.

WhatsApp'ta kullanıcıların kendilerini bu tür saldırılardan en azından bir dereceye kadar korumalarını sağlayan bir yapılandırma seçeneği bulunuyor. WhatsApp'ta sağ üst köşede üst üste üç nokta bulunan sembolü seçip “Ayarlar”a dokunmanız gerekiyor. En alttaki “Veri Koruma” ile “Gelişmiş” seçeneğine devam edin. “Bilinmeyen hesaplardan gelen mesajları engelle” seçeneğinin etkinleştirilmesi, WhatsApp'ın “belirli bir sayıyı aşması durumunda bilinmeyen hesaplardan gelen mesajları” engellemesine neden olur. Ancak bu mesaj sayısının ne kadar olduğu belirtilmediği için bu tam bir koruma sağlamamaktadır. Signal için yardımcı olabilecek herhangi bir ayardan bahsetmiyorlar.

Ancak Signal'in GitHub'ında kullanıcıların kendilerini nasıl koruyabilecekleri konusunda bir ipucu var. “Signal, Ayarlar – Gizlilik – Telefon Numarası – Numaramı kimler görebilir bölümünden telefon numarası bulunabilirliğinin devre dışı bırakılmasını destekler. Hiçbiri olarak ayarlandığında, kullanıcılar rastgele bir alfasayısal kullanıcı adı seçebilir ve siz kullanıcı adını onlarla paylaşmadığınız sürece hiç kimse size mesaj (teslimat bildirimleri veya başka türlü) gönderemez.”

Yazarlar, geleneksel mesajlar için alındı ​​bildirimlerini açıkça devre dışı bırakmanın yardımcı olduğunu ancak bu özel saldırıya karşı koruma sağlamadığını açıkça belirtiyorlar. “Aralık 2025 itibarıyla WhatsApp ve Signal'deki bu güvenlik açığından yararlanılabilir durumda” diye açıklıyorlar. Bu da WhatsApp ve Signal'in bu saldırıları önleyen bir güncellemeyi hızla yayınlamak zorunda kaldığı anlamına geliyor.

Hem Signal hem de WhatsApp'a kuruluşların sorunu çözmeyi planlayıp planlamadıklarını ve ne zaman planladıklarını sorduk. WhatsApp anında, bir zaman diliminden bahsetmeyen veya sorunun olası çözümleri hakkında bilgi sağlamayan, yapay zeka tarafından oluşturulan bir yanıt aldı. Güvenlik özelliği daha fazla isteği engelleyene kadar mesaj sayısıyla ilgili yanıt da belirsizdir: Bu, “mesajların türü ve saldırganın davranışı gibi çeşitli faktörlere bağlıdır. Size kesin bir sayı veremiyoruz çünkü bu durum duruma göre değişebilir.”

Temel olarak WhatsApp gizliliği geliştirmek için çalışıyor. Nisan ayının sonunda geliştiriciler “Gelişmiş Sohbet Gizliliği” işlevini sundular.

(Bilmiyorum)