Financial Times’da yayınlanan bir haber, kötü şöhrete sahip İsrailli siber güvenlik şirketi NSO Group’un bir tek arama ile hedefteki telefonlara zararlı yazılım yerleştirebilen ve bu yolla telefonlardan bilgi hırsızlığı yapabilen bir Whatsapp saldırı tekniği geliştirdiğini iddia etti.
Üstelik saldırganların hedefindeki kişilerin virüs kapması için telefonu açması gerekmiyor. Çağrılar da çoğunlukla telefonun arama günlüğünde hiçbir iz bırakmıyor. Peki böylesi bir saldırı nasıl gerçekleşir?
Dünya genelindeki 1,5 milyar kullanıcısına fabrika ayarı olarak şifreli mesajlaşma imkanı sunan WhatsApp, mayıs ayı başlarında bir zafiyet keşfetti ve geçtiğimiz hafta pazartesi günü buna karşı bir yama çıkarttı.
Şüpheli: NSO Group
Facebook’a ait şirket, Financial Times’a yaptığı açıklamada olaya ilişkin bir takım insan hakları grupları ile iletişime geçtiklerini ve bu güvenlik zafiyetinin istismar edilmesinin, hükümetlere casus yazılım üretmesiyle bilinen NSO Group’un bütün alamet-i farikalarını taşıdığını belirtti.
NSO Group, yayınladığı bir basın bildirisi ile kurbanların seçilmesi ve hedef alınmasında bir dahli oldukları yönündeki iddiaları reddederken saldırının ortaya çıkışındaki rollerini reddetmedi.
Saldırganların şirket yama çıkarmadan önce bir güvenlik açığı bulduğu ‘Sıfırıncı gün hataları’ları olarak bilinen saldırılar her platformda gerçekleşebiliyor. Bu, yazılım geliştirmenin bir parçası ve bölümü iken işin püf noktasını ise bu güvenlik açıklarını olabildiğince hızlı kapatmak oluşturuyor. Telefon aramasından başka hiçbir şey gerektirmeyen bir siber saldırının, savunulması oldukça zor bir hackleme olduğu kesin.
WhatsApp ayrıntı vermiyor
WhatsApp, WIRED’a yazılım hatasını nasıl keşfettikleri ya da bug’ın nasıl çalıştığı konusunda ayrıntı vermezken şirket, müşterilerin başka telefon çağrısı hataları ile hedef haline gelmemesini sağlamak için yama çıkarmaya ek olarak altyapı yükseltmesi yaptıklarını açıkladı.
Alman Security Research Labs’ın baş mühendisi Karsten Nohl, “Uzaktan kumanda edilebilen buglar, güvenilir olmayan kaynaklardan veri alan herhangi bir uygulamada bulunabilir” diyor. Kullanıcıları birbirine bağlamak için VoIP olarak bilinen ‘internet protokolü üzerinden ses’ aktarımını kullanan Whatsapp aramaları da onlardan biri.
VoIP uygulamaları gelen çağrıları kabul etmek ve o çağrıya cevap vermese bile kullanıcıyı bilgilendirmek durumunda. Nohl, “Veri çözümlemesi ne kadar komplike olursa hata payı da o kadar fazla olur” diyor. Whatsapp olayında ise bağlantı kurmak için gerekli olan protokol o kadar komplikeydi ki diğer uçtaki kişi çağrıyı cevaplamadan bug’lar harekete geçiriliyordu.
VoIP arama servisleri o kadar uzun süredir kullanılıyor ki temel arama bağlantı protokollerindeki ufak tefek pürüzlerin şimdiye kadar düzeltilmiş olduğunu düşünebilirsiniz. Ancak pratikte her bir hizmetin uygulanması biraz farklı. Nohl, WhatsApp’ta olduğu gibi, uçtan uca şifreli arama yaparken, işlerin daha da zorlaştığına işaret ediyor.
SİNYAL, VoIP’e karşı korumasız
SİNYAL, VoIP’e karşı korumasızWhatsApp uçtan uca şifrelemeyi Sinyal Protokolü’ne dayandırırken, VoIP çağrısı işlevsel olarak muhtemelen diğer özel kodları da içerir. Sinyal hizmetin bu arama saldırılarına karşı korumasız olduğunu belirtiyor.
Facebook’un güvenlik danışmanına göre, Whatsapp’ın korunmasızlığı buffer overflow (ara bellek aşımı) olarak bilinen oldukça alışılagelmiş bir yazılım hatası türünden kaynaklanıyor. Uygulamaların ekstra bilgiyi güvenli bir yerde gizlemek için arabellek olarak adlandırılan bir çeşit deposu bulunuyor.
Popüler bir saldırı grubu stratejik olarak bu ara belleğe aşırı yüklenir; böylece veriler belleğin diğer bölümlerine “taşar”. Bu durum bilgisayarın çökmesine sebep olabilir ya da bazı durumlarda saldırganlara git gide daha fazla kontrol alanı sağlar. Whatsapp’ta yaşanan da buydu.
Saldırı, bir VoIP aramasında sistemin kullanıcı tarafından yapılacak bir dizi olası girişe (cevaplama, aramayı reddetme vb.) karşı hazırlanması gerektiği gerçeğini ortaya koydu.
Arabellek Taşması
Alman güvenli iletişim firması CryptoPhone’un CEO’su Bjoern Rupp, şöyle diyor: “Bu, kulağa geçekten çok tuhaf bir olay gibi geliyor ancak temelinde bugünlerde çok nadir olmayan bir arabellek taşması sorunu var gibi görünüyor” Rupp’a göre güvenlik hiçbir zaman WhatsApp’ın başlıca tasarım hedefi olmadı bu yüzden de güvenlik açıklarına sahip olması ile tanınan karmaşık VoIP yığınlarına bel bağlamak durumunda.
WhatsApp yazılım hatası sınırlı sayıda yüksek profilli aktivist ve siyasi muhalifi hedef almak için kullanıldı, dolayısıyla çoğu kişi pratikte bundan hiçbir şekilde etkilenmeyecek. Ancak yamayı Android ve iOS cihazlarınıza indirmenizde fayda var.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
?
Risk.