WhatsApp'ı Hack'lemenin 4 Yolu

Popüler uygulama WhatsApp'ın güvenlik mekanizmaları, bazı durumlarda aşılabiliyor. İşte bunlardan 4'ü...

En popüler mesajlaşma uygulamalarından biri olan WhatsApp, uçtan uca şifreleme gibi bir dizi güvenlik işleviyle geliyor. Ancak uygulamayı hedef alan saldırılar, görünüşte güçlü olan bu savunmayı bazen dize getirebiliyor. İşte WhatsApp'ın sandığınız kadar güvenli olmadığını gösteren 4 saldırı türü.

1. Uzaktan Kod Çalıştırma

Güvenlik araştırmacısı Awakened, Ekim 2019'da WhatsApp'ta bulunan, bir GIF dosyasıyla uygulamanın kontrolünü hacker'ların eline veren bir güvenlik açığını ortaya çıkarmıştı. Saldırı, WhatsApp'ın galeri görünümünde resimleri işleme yöntemindeki bir açığı kullanıyordu.

Zararlı GIF içerisinde kod gizlenebiliyor, saldırı sonrasında kullanıcının mesajlaştığı kişilerin kim olduğu ve ne söyledikleri, saldırgan tarafından görüntülenebiliyordu. Hacker, kullanıcının WhatsApp üzerinden gönderdiği dosyaları, fotoğrafları ve videoları da görebiliyordu.

WhatsApp'ın 2.19.230'a kadarki sürümlerini etkileyen açık, 2.19.444 ve üzeri sürümlerde bulunmuyor.

2. Pegasus Sesli Arama Saldırısı

Bu tüyler ürperten saldırıda hedefin sesli olarak aranması yetiyordu. Hedefteki kişi çağrıyı cevaplamasa bile saldırı başarıya ulaşıyordu. Kurbanın telefonuna bir zararlı girdiğinden haberi bile olmayabiliyordu.

Bu saldırıda yığın taşması olarak bilinen yöntem kullanılıyordu. Bu yöntemde küçük bir ara belleğe kasıtlı olarak çok fazla kod yerleştirilir ve böylece normalde erişemediği bir konuma kod yazması sağlanıyor. Hacker, güvenli olması gereken bir konumda kod çalıştırdığında, kötü amaçlı eylemlerini gerçekleştirebilir.

Bu saldırıda, cihaza Pegasus olarak bilinen bir casus yazılım yerleştiriliyor, kullanıcının çağrıları, mesajları, fotoğrafları ve videoları toplanıyordu. Zararlı, kullanıcının kamerasını ve mikrofonunu kullanarak kayıt bile yapıyordu.

3. Sosyal Mühendislik Saldırıları

Bu tür saldırılarda insan psikolojisi kötüye kullanılarak bilgi çalmaya veya yanlış bilgi yaymaya çalışılır. FakesApp adında bu tür bir saldırı Check Point Research tarafından ortaya çıkarılmıştı. Bu şekilde grup sohbetlerindeki alıntı işlevinin yanlış bir biçimde kullanılması sağlanmış ve diğer kişinin cevabı üzerinde değişiklik yapılmıştı. Sonuçta hacker'lar, gerçek kullanıcılar tarafından yazılmış gibi görünen sahte açıklamaları yaymayı başarmışlardı.

4. Facebook'un WhatsApp Sohbetlerini Gözetlemesi

Bu, bir güvenlik açığından veya saldırısından çok bir güvenlik sorunu. WhatsApp, uçtan uca şifrelemeyi aşmanın Facebook için imkansız olacağını blog gönderisinde söylüyor. Ancak geliştirici Gregorio Zanon'a göre bu o kadar da doğru değil. Örneğin iOS 8 ve üzerinde uygulamalar, "paylaşımlı konteynere" ulaşabiliyor. Facebook ve WhatsApp, cihazlarda aynı konteyneri kullanıyorlar. Mesajlar, gönderilirken şifrelense de, bulundukları cihazda şifreli olarak saklanmadığından, Facebook dilerse bu mesajlara rahatça ulaşabilir.

Bununla birlikte Facebook'un WhatsApp mesajlarına baktığına dair bir kanıt, şimdiye kadar bulunmadı. Yine de Facebook'un dilediğinde bunu rahatça yapabilecek olması, uçtan uca şifrelemenin tüm anlamını bizce ortadan kaldırıyor.

Sonraki Haber

Forum