WhatsApp uygulamasına getirilen şifreleme özelliği ne kadar güvenilir, sohbetleriniz ne kadar güvende?
2012 başlarında hayli basit ve kırılması pek de zor olmayan bir şifreleme sistemine kavuşan WhatsApp sohbet uygulaması, bir süre önce çok daha güvenilir bir sisteme geçiş yaptı. Bu gelişme, tüm dünyada ardı ardına patlayan dinleme skandallarına duyulan kamusal tepki dikkate alındığında, hayli geç kalınmış olarak bile yorumlanabilir. Ancak geç olması, yine de hiç olmamasından daha iyidir.
WhatsApp uygulaması bugün 600 milyon civarında kullanıcıya sahip ve büyümeye devam ediyor. Bu uygulamada kullanılan veri şifreleme teknolojisi ise Textsecure adı verilen, açık kaynak kodlu bir yazılıma dayanıyor. Textsecure bu uygulamaya çoğu benzerinde pek olmayan seviyede bir güvenlik kazandırıyor. Ancak tamamen kırılamaz olduğunu söylemek pek mümkün değil.
Textsecure teknolojisinin açık kaynak kodlu olması, geniş bir gönüllü geliştirici tabanına sahip olması anlamına geliyor. Bu da güvenlik açıklarının çabuk tespit edilmesi ve yamanması demek. Ne var ki tüm bu geliştiricilere ne kadar güvenilebileceği yine de tartışılır. Sonuçta açık kaynak kodlu bir yazılıma farkına varılmadan arka kapılar gizlemek belki o kadar kolay olmayacaktır, ancak tamamen imkansız olduğu da söylenemez.
Textsecure teknolojisini ve dolayısıyla WhatsApp uygulamasını güvenilir kılan özellikler sadece açık kaynak kodlu olmasıyla sınırlı değil tabii ki. WhatsApp, çoğu benzerinin aksine her yeni sohbet seansının başında şifreleme anahtarını değiştiriyor. Bu sayede bir sohbet seansınızda sızma yaşansa bile, oradan yola çıkarak tüm sohbet geçmişinizin görüntülenmesi mümkün olmuyor. Ayrıca tüm şifreleme anahtarları da kullanıcının cihazında depolandığından, uygulamanın sahibi şirketin bile sohbetlerinizi dinlemesi pratik olarak mümkün değil.
Ne var ki WhatsApp uygulamasının bu konuda önemli açıkları da var. Öncelikle, uygulama herhangi bir şekilde konuştuğunuz kişinin elektronik kimliğini doğrulama yeteneğine sahip değil. Bu da karşınızdaki kişinin sandığınız kişi olmayabileceği anlamına geliyor. Bunun yanı sıra, zararlı yazılım bulaşmış bir cihazda herhangi bir şifrelemenin de çok fazla önemi kalmayabiliyor. Keylogger türü basılan tuşları kaydeden bir malware ile mesaj daha yazılırken kaydetmek mümkün olabiliyor.
Tüm bunlar WhatsApp uygulamasının tamamen güvensiz olduğu ya da şifrelemenin işe yaramadığı anlamına gelmiyor. Ancak kullanılan cihazların güvenliğini de garanti altına alabilmek kritik önem taşıyor. Bu önlemlerin alınması için şirketler tarafından daha çok çaba sarf edilmesi gerekiyor. Bunu sağlamanın tek yolu da, güvenliğe önem vermeyen şirketlerin yazılımlarını terk ederek diğerlerine örnek teşkil etmesini sağlamak suretiyle, bizzat kullanıcıların elinden geçiyor.
Technopat