WhatsApp'ta Bir Güvenlik Açığı Keşfedildi

 (univie.ac.at)
1 puan yazan GN⁺ 2025-11-22 | 1 yorum | WhatsApp'ta paylaş
  • Avusturya Viyana Üniversitesi ve SBA Research araştırmacıları, WhatsApp'ın kişi bulma mekanizmasında 3,5 milyar hesabı numaralandırmaya olanak tanıyan büyük ölçekli bir gizlilik açığı keşfetti
  • Araştırmacılar, saatte 100 milyondan fazla telefon numarasını sorgulamanın mümkün olduğunu gösterdi; Meta ise araştırmacılarla iş birliği yaparak sorunu düzeltti
  • Toplanabilen veriler arasında telefon numarası, açık anahtar, zaman damgası, herkese açık profil bilgileri yer alıyor; bunlardan işletim sistemi, hesap yaşı ve bağlı cihaz sayısı çıkarımı yapılabiliyor
  • Analiz sonuçlarına göre, WhatsApp'ın yasaklı olduğu ülkelerde bile (Çin, İran, Myanmar vb.) milyonlarca aktif hesap bulunuyor ve küresel dağılımın %81 Android, %19 iOS olduğu doğrulandı
  • Bu araştırma, yalnızca metadata analizinin bile kişisel veri ifşası riski yaratabildiğini gösterirken, sürekli ve bağımsız güvenlik araştırmasının önemini vurguluyor

WhatsApp kişi bulma açığı keşfedildi

  • Araştırmacılar, WhatsApp'ın kişi bulma(contact discovery) özelliğinin kullanıcının adres defterine dayanarak diğer kullanıcıları bulduğu yapıyı kullanarak, saatte 100 milyondan fazla telefon numarasını sorgulamanın mümkün olduğunu doğruladı
    • Bu sayede 245 ülkede 3,5 milyardan fazla aktif hesap tespit edildi
    • Tek bir kaynaktan bu kadar çok isteğin işlenebilmiş olması, sistem tasarımındaki bir kusuru ortaya koyan bir durum olarak değerlendirildi
  • Erişilebilen veriler arasında telefon numarası, açık anahtar, zaman damgası, herkese açık profil fotoğrafı ve tanıtım yazısı bulunuyor; bunlardan işletim sistemi türü, hesabın oluşturulma zamanı ve bağlı cihaz sayısı çıkarımı yapılabiliyor

Başlıca araştırma bulguları

  • WhatsApp'ın resmen yasaklandığı ülkelerde (Çin, İran, Myanmar) bile milyonlarca aktif hesap bulunuyor
  • Küresel cihaz oranı %81 Android ve %19 iOS olarak ortaya çıkarken, bölgelere göre gizlilik paylaşım davranışlarında (ör. profil fotoğrafını herkese açma, tanıtım yazısı kullanma vb.) farklılıklar görüldü
  • Bazı vakalarda şifreleme anahtarı yeniden kullanımı tespit edildi; bu da resmî olmayan istemciler ya da dolandırıcılık amaçlı kullanım ihtimaline işaret ediyor
  • 2021 Facebook veri sızıntısında yer alan 500 milyon telefon numarasının yaklaşık yarısının hâlâ WhatsApp'ta aktif olduğu doğrulandı
    • Bu da sızdırılmış numaraların dolandırıcılık aramaları gibi ikincil zararlara maruz kalma riskini sürdürdüğünü gösteriyor

Veri işleme ve güvenlik etkileri

  • Araştırma sürecinde mesaj içeriklerine erişilmedi ve toplanan tüm veriler yayın öncesinde silindi
  • WhatsApp'ın uçtan uca şifreleme(end-to-end encryption) sistemi mesaj içeriklerini koruyor ancak metadata bu korumanın kapsamında değil
  • Araştırmacılar, yalnızca metadata'nın büyük ölçekte toplanıp analiz edilmesiyle bile gizlilik ihlali riskinin doğabileceğini doğruladı

Meta ile iş birliği ve alınan önlemler

  • Araştırma, sorumlu açıklama(responsible disclosure) ilkesi doğrultusunda yürütüldü ve sonuçlar hemen Meta'ya bildirildi
  • Meta daha sonra istek sınırlama(rate-limiting) ve profil bilgilerine erişimi güçlendirme gibi önlemler devreye aldı
  • Meta, araştırmacıların iş birliği için teşekkür ederken, yeni numaralandırma(enumeration) tekniğinin mevcut savunma sınırlarını aştığını kabul etti
    • Araştırma sonuçları, şirketin anti-scraping sisteminin etkinliğini doğrulamaya da katkı sağladı
    • Kötü niyetli kötüye kullanım vakası tespit edilmedi ve kullanıcı mesajları güvenli şekilde korunmaya devam etti

Araştırmanın arka planı ve devam çalışmaları

  • Bu makale, Viyana Üniversitesi ile SBA Research'ün yürüttüğü üçüncü mesajlaşma güvenliği araştırması olarak WhatsApp ve Signal'ın tasarım ve uygulama kaynaklı gizlilik açığı ihtimallerini inceliyor
  • Önceki araştırmalar:
    • “Careless Whisper” (RAID 2025) : WhatsApp'ın sessiz teslim makbuzları(silent delivery receipts) üzerinden kullanıcı etkinlik kalıplarının çıkarılabildiğini gösterdi
    • “Prekey Pogo” (USENIX WOOT 2025) : WhatsApp'ın prekey dağıtım mekanizmasındaki uygulama zayıflıklarını analiz etti
  • Bu araştırma “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”, bu araştırma hattını genişleterek küresel ölçekte kullanıcı numaralandırmasının mümkün olduğunu deneysel olarak ortaya koyuyor
    • Bulguların NDSS 2026 konferansında sunulması planlanıyor

Araştırmanın önemi

  • Araştırmacılar, olgun sistemlerin bile tasarım kusurları barındırabileceğini vurgulayarak, güvenlik ve gizliliğin sürekli yeniden değerlendirilmesi gerektiğinin altını çizdi
  • Akademi ile sanayi arasındaki şeffaf iş birliğinin, kullanıcı koruması ve kötüye kullanımın önlenmesi açısından kritik olduğu ifade edildi
  • Bu çalışma, mesajlaşma sistemlerinin evrimi ve yeni risk noktalarını uzun vadede anlamak için bir temel sunuyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-11-22
Hacker News görüşleri
  • Zamanlama gerçekten manidar. Biz de yakın zamanda kişi eşleme yöntemi hakkında bir RFC yayımladık. Bu yöntem enumeration attack'e karşı dayanıklı, ancak bunun karşılığında keşfedilebilirliği azaltan bir yapıya sahip. Şu anda geri bildirim topluyoruz, ilgilenenler bakabilir — Contact Import RFC
    • Ben de benzer bir sorun üzerinde çalışırken Private Set Intersection konusuna bakmıştım (Wiki bağlantısı). Bu, Zero Knowledge Proofs ile bağlantılı ve telefon numaralarını düz metin olarak paylaşmadan saldırıyı en baştan engelleyebiliyor. Yine de bu yaklaşım fazla ağır olabilir ve mevcut teknolojiyle ölçeklenebilirlik sınırlarına takılabilir
    • RFC güvenliği ele alıyor ama gizlilikten bahsetmiyor. Sonuçta sunucuya ya da instance'a güvenmeniz gereken bir yapı. Gerçek numara yerine hash kullanmak güzel olurdu ama o zaman numara doğrulaması yapılamaz ve spoofing'i önlemek zorlaşır. EFF veya Let’s Encrypt gibi güvenilir bir üçüncü tarafın numarayı doğrulayıp uygulamanın sadece hash'i alması gibi bir model mümkün olabilir
    • Bunu tam zamanında gündeme getirmiş olmana sevindim. Benim uygulamam da yakında kişi senkronizasyonu ekleyecek, bu yüzden güvenlik ve gizlilik tarafını düşünüyorum. Bu RFC'yi açık kaynak olarak yayımlamayı planlayıp planlamadığınızı merak ediyorum
  • Haberde alıntılanan kısım ilginç. 2021 Facebook veri sızıntısında açığa çıkan 500 milyon telefon numarasının yarısının hâlâ WhatsApp'ta aktif olduğu söyleniyor. Bu da sızan numaraların yıllarca spam arama ya da dolandırıcılığa açık kalabileceğini gösteriyor. Telefon numaralarının 'yarı ömrü' yaklaşık 4-5 yıl gibi görünüyor
    • Amerikalıların çocukken aldıkları numarayı yetişkin olduklarında da kullanması bana şaşırtıcı geliyor. Ben eskiden numaramı her yıl değiştirirdim
  • Bu güvenlik açığı, belirli bir telefon numarasının bir WhatsApp hesabına bağlı olup olmadığını doğrulamayı sağlayan bir endpoint yüzündendi. Neredeyse tüm numaralar için sorgu yapılabiliyordu ama çok büyük bir açık gibi görünmüyor
    • Ama neden telefon numarasıyla hesap varlığının doğrulanmasına izin verildiğini anlamıyorum. E-posta adreslerinde bu tür doğrulama gizlilik ihlali sayılıyor; telefon numaraları neden istisna olsun ki?
    • Son zamanlarda “WatApp”, “whtas app” gibi adlarla gelen çok sayıda phishing SMS alıyorum. Görünüşe göre bu tür sızıntılar saldırıları daha verimli hâle getiriyor. Numara göstermeden gelen mesajlar olduğu için engellemek de zor
    • Aslında benim gibi biri için bu kullanışlı bir özellik. İnternetten bulduğum bir tesisatçının numarasını WhatsApp'a giriyorum; profili varsa doğrudan mesaj atıyorum, yoksa arıyor ya da SMS gönderiyorum
  • Bu büyük bir sızıntıdan çok, kullanıcının açık profilini bırakmış olması ve numarayla aranabilir olması durumu. Araştırmacılar sadece rastgele numaraları sorgulayıp herkese açık bilgileri toplamış; özel veriler değildi. Facebook rate limit uygulamadığı için bunun büyük ölçekte yapılması mümkün olmuş ama sonuçta veriler zaten açıktı. Hassas bilgileri açık profile koymak kullanıcıların tercihiydi
  • Bu en üzücü örneklerden biri. İnsanlık en popüler kişisel mesajlaşma uygulamasına sahip olma fırsatını yakalamıştı ama 2014'teki 19 milyar dolarlık teklif Brian Acton'ın gözünü kamaştırdı. Şimdi Signal'de yaptığı şeyler, milyarlarca kullanıcının güvenini satmanın bedelini geri alamaz
    • AB bu anlaşmayı engellemeliydi. Gelir modeli bile olmayan bir şirketin 19 milyar dolar etmesi mantıksızdı ve Facebook'un peşinde olduğu şey kullanıcı verileriydi. Onun yerine USB-C zorunluluğuyla yetinmeleri gerçekten hayal kırıklığı yaratıyor
  • Bu aslında sadece bir telefon numarası enumeration sorunu. Kod hatası değil, tanımlı bir özellik olduğu için buna 'güvenlik açığı' demek biraz tartışmalı
    • Ama hiç rate limiting olmayan hassas bir endpoint'in kusur sayılması bence makul
    • Tek bir numarayla bile hesap varlığını doğrulamak mümkünse bu bir gizlilik ihlalidir. Hele söz konusu hizmet uygunsuz ya da hassas bir siteyse, sadece numarayla üyelik durumunu öğrenebilmek ciddi bir sorun olur. Bunun otomasyonla profilleme için kullanılabilmesi de riski büyütüyor
    • Saniyede 100 milyon istek atılabildiği söyleniyorsa, bu gerçekten akıl almaz bir seviye
  • Bu sabah aniden WhatsApp'tan çıkış yapıldığını fark ettim. Yeniden giriş yapmaya çalıştım ama doğrulama SMS'i gelmedi; neyse ki “telefonla al” seçeneğiyle kurtarma kodunu alabildim. Ama 2FA PIN ayarlamadığım için kurtarma engellendi, e-posta kurtarma da kurulu değildi. Şu anda 7 günlük bekleme süresindeyim. Numara hâlâ bana aitken hesabı kurtaramıyor olmam çok tuhaf. Herkese 2FA ve kurtarma e-postası kurmasını şiddetle tavsiye ederim
    • Hesaplar yalnızca telefon numarasıyla kurtarılabiliyorsa bu aslında güvenlik riski yaratır. Numara yeniden tahsis edildiğinde yeni kullanıcı önceki kullanıcının sohbetlerini ve kişilerini devralabilir
  • Bu, 2020'de yayımlanan WhatsApp, Telegram ve Signal kişi bulma makalesine benziyor (bağlantı). Sonuçta tüm telefon numarası uzayının enumerate edilmesini engelleyen tek şey sunucu tarafı rate limit. Her mesajlaşma uygulamasının koyduğu sınırların yeterli olup olmadığını merak ediyorum
  • Daha önce buna benzer bir araştırmaya katkıda bulunmuştum. Ülkelere göre mobil telefon ön ekleri listesi çok faydalıydı. Ama kaynak verilen libphonegen bağlantısını bulamadım
  • Asıl mesele, mesajlaşma hizmetlerinin merkezileşme riski. Gerçi merkezileşme her alanda sorun ama kullanıcılar yine de kolaylık ve entegrasyon istiyor. Bunu dağıtık sistemlerde başarmak gerçekten çok zor
    • Keşke başlangıçta e-posta gibi açık bir yapıdan çıksaydı diye düşünüyorum. 90'larda “E-posta adresin ne?” yerine “Açık anahtarın ne?” diye soruyor olsaydık, belki bugün bir dijital ütopyada yaşıyor olurduk
    • SimpleX Chat güvenlik ve merkeziyetsizliği oldukça iyi birleştiren bir örnek gibi görünüyor
    • Açıkçası teknik yeterlilik açısından hükümetten çok Meta'ya daha fazla güvenirim. Devletlerin dijital projeleri sık sık başarısız oluyor; FAANG'ı eleştirmek kolay ama onlardan daha iyi sonuç çıkarmak da zor
    • Az önce HN ana sayfasındaki Matrix başlığını okudum; o da benzer bağlamdaki bir tartışmaydı