WhatsApp 'sanıldığı kadar güvenli' değilmiş

⏱ Okuma Süresi 3 dk•Yayınlanma Perşembe, Kasım 7 2019

Dünyanın en popüler mesajlaşma uygulaması WhatsApp üzerinden telefonlara casus bir yazılım yüklendiği ortaya çıkmıştı.

Şirket, 1.5 milyar kullanıcısına dün yayınlanan güncellemeyi yükleme çağrısı yaptı. Yazılımı bir İsrail firmasının yüklediği belirtiliyordu. İsrail ise iddiaları reddetti.

WhatsApp, uçtan uca şifreleme gibi bir dizi güvenlik işleviyle geliyor. Ancak uygulamayı hedef alan saldırılar, görünüşte güçlü olan bu savunmayı aşabiliyor.

CHIP'te yer alan haberde ise WhatsApp'ın 'sanıldığı kadar güvenli olmadığını gösteren' dört saldırı türü sıralanıyor:

1. Uzaktan Kod Çalıştırma

Güvenlik araştırmacısı Awakened, Ekim 2019'da WhatsApp'ta bulunan, bir GIF dosyasıyla uygulamanın kontrolünü hacker'ların eline veren bir güvenlik açığını ortaya çıkarmıştı. Saldırı, WhatsApp'ın galeri görünümünde resimleri işleme yöntemindeki bir açığı kullanıyordu.

Zararlı GIF içerisinde kod gizlenebiliyor, saldırı sonrasında kullanıcının mesajlaştığı kişilerin kim olduğu ve ne söyledikleri, saldırgan tarafından görüntülenebiliyordu. Hacker, kullanıcının WhatsApp üzerinden gönderdiği dosyaları, fotoğrafları ve videoları da görebiliyordu.

WhatsApp'ın 2.19.230'a kadarki sürümlerini etkileyen açık, 2.19.444 ve üzeri sürümlerde bulunmuyor.

2. Pegasus Sesli Arama Saldırısı

Bu tüyler ürperten saldırıda hedefin sesli olarak aranması yetiyordu. Hedefteki kişi çağrıyı cevaplamasa bile saldırı başarıya ulaşıyordu. Kurbanın telefonuna bir zararlı girdiğinden haberi bile olmayabiliyordu.

Bu saldırıda yığın taşması olarak bilinen yöntem kullanılıyordu. Bu yöntemde küçük bir ara belleğe kasıtlı olarak çok fazla kod yerleştirilir ve böylece normalde erişemediği bir konuma kod yazması sağlanıyor. Hacker, güvenli olması gereken bir konumda kod çalış