Güvenli Olmayan 11 Mobil ve Internet Mesajlaşma Uygulaması

Geçtiğimiz hafta Electronic Frontier Foundation güvenli mesajlaşma skor kartına göz atmıştık. Dokuz mobil ve Internet mesajlaşma servisini gizlilik ve güvenlik açısından değerlendirdik. Bu hafta düşük puan alan servislere göz atacağız.Enteresan

Geçtiğimiz hafta Electronic Frontier Foundation güvenli mesajlaşma skor kartına göz atmıştık. Dokuz mobil ve Internet mesajlaşma servisini gizlilik ve güvenlik açısından değerlendirdik. Bu hafta düşük puan alan servislere göz atacağız.Enteresan bir şekilde geçtiğimiz hafta göz attığımız mesajlaşma uygulamaları güvenliği ve gizliliği ne kadar önde tutmuşsa bu haftakiler de o kadar dikkate almamış gözüküyor. Maalesef hepsi de bilindik uygulamalar. Bu nedenle öncelikle en popüler uygulamalara odaklanacağız ama elbette düşük puan alan az popüler uygulamalardan da bahsedeceğiz.

İçerik

EFF her bir servisi yüksek ve düşük seviye olmak üzere yedi kategoride değerlendirmiş. Bizim hedefimiz aşağıdaki kategorilerden sıfır, bir veya iki “evet” almış olan servis sağlayıcılar:

  1. Veriler kriptolanmış olarak mı iletiliyor?
  2. Veriler kriptolanmış ise hizmet sağlayıcı da okuyamıyor mu?
  3. Kontakların gerçek kimliklerini tanımlayabiliyor musunuz?
  4. Servis sağlayıcı kusursuz gizlilik sağlıyor mu? Yani kripto anahtarları geçici ve eğer çalınsa bile mevcut iletişimlerin şifresini bunlarla açmak mümkün değil mi?
  5. Hizmetin kaynak kodları açık mı ve herkes tarafından görülebiliyor mu?
  6. Kriptografik uygulama prosedürleri ve prosesleri dokümante edilmiş mi?
  7. Son 12 ay içinde bağımsız güvenlik denetlemesinden geçmiş mi?

Bu yedi puanlama sorusu, servislerin devlet tarafından izlenme, suç amaçlı gözetleme ve kurumsal veri toplama açısından ne kadar iyi hizmet sunduğunu ölçmek için tasarlandı. Ne EFF ne de Kaspersky Daily bahsi geçen uygulamaları kınamak veya yüceltmek amacında değildir. Liste sadece bu uygulamaların başarılı yöntemleri istikrarlı bir şekilde kullanıp kullanmadıklarını göstermektedir.

Gerçekten Kötü: Sıfır Puan

Sadece Mxit ve QQ mobil mesajlaşma uygulamaları sıfır puan aldı ancak büyük ihtimalle ikisini de kullanmamışsınızdır. Yedi kategorinin tamamında Mxit ve QQ iletilen verileri kriptolamadığından ikisini de kullanmanızı tavsiye etmiyoruz. İki uygulamada da gönderilen mesajlar ileticiden alıcıya açık yazı formatında iletiliyor.

Oldukça Kötü: Bir Puan

Ne yazık ki hemen herkesin kullandığı dört mesajlaşma servisi yedi sorudan sadece birini karşıladı.Yahoo-Messenger-logo-300x176

Kriptolama konusunda geç kalan Yahoo’nun mesajlaşma uygulaması sadece kullanıcı bilgilerini kriptoluyor. Yani Yahoo (şirketi) mesajlarınızı okuyabilir veya eğer isterse kanun güçlerine teslim edebilir. Dürüst olmak gerekirse, iki yılda bir yayınladıkları açıklık raporlarında devletten gelen taleplere ne detayda bilgi verdiklerini açıklıyorlar. Ayrıca Yahoo! Messenger kontaklarınızın kimliklerini doğrulayamıyorsunuz. Koduna bağımsız inceleme yaptırmadığı ve güvenlik tasarımını uygun şekilde dokümante etmediği için kusursuz güvenlik pratiği sağlamıyor. Son olarak, şirket yakın zamanda kod denetimi gerçekleştirmemiş. Ancak Yahoo’nun Web hizmetleri kriptolama açısından iki yıl öncesine göre çok yol aldı. Dolayısıyla mesajlaşma uygulaması için de hala bir umut olabilir.skype-logo-300x177

Microsoft’un defakto Internet arama ve mesajlaşma servisi Skype da Yahoo! Messenger gibi sadece verilerin kriptolu iletilmesinden (aynı maddeden) bir puan aldı. Diğer kategorilerin hiç birinden ise puan alamadı. Skype iletişimin bütünlüğü ve gözetleme ithamları açısından çıkarcı bir kayda sahip. Gizli gözetleme şühesi iddiaları nedeniyle ciddi eleştiriler almış durumda. Microsoft bu iddiaların hepsini ret etti.Blackberry-Messenger-Logo-300x176

BlackBerry Messenger da Yahoo! Messenger ve Skype ile tam olarak aynı puanı aldı. Eski adıyla Research In Motion veya diğer adıyla RIM tarafından işletilen bu servis, iletişimi transfer aşamasında kriptoluyor ki bu iyi bir şey. Ama iletişimi tamamen kriptolamıyor. Yani servis sağlayıcı (BlackBerry) onları okuyabilir, kullanıcılara kontaklarını doğrulama imkanı sunulmuyor, eski iletişimleri anahtarınızı kaybolması durumuna karşı korunmuyor, kodunu bağımsız incelemeye açmıyor, güvenlik tasarımını uygun şekilde dokümante etmiyor ve geçen sene kodunu denetletmemiş.AIM-Logo-300x176

AIM daha bilinen adıyla Americe Online’s Insant Messenger uzun zamandır kullanılıyor. 90’ların ortasından 2000’lerin ortasına kadar AOL’ün Instant Messenger uygulamasının rakipsiz olduğunu söyleyebiliriz. Ancak artık popülaritesi özellikle çocuklar açısından eskisi gibi değil. Yine de yaygın biçimde kullanılıyor. Ne yazık ki o da verileri iletim aşamasında kriptoluyor ancak daha fazlasını yapmıyor.

Çoklu platformda çalışan Secret Message uygulaması kendisini güvenli olarak nitelendiriyor ve Hushmail email istemcisi kendisini kişisel olarak tanımlıyor ancak her ikisi de verileri iletiş aşamasında kriptolamaktan ileri gitmiyorlar. Kik ve eBuddy XMS platformları güvenlik açısından kendilerini bütünüyle farklı tanıtmıyor ancak ikisi de bu kategoride diğerlerinin aldığı puanı alıyor.

Fena Değil ama Hala İyi Sayılmaz: İki PuanSnapchatLogo-300x176

Popüler geçici fotoğraf ve video paylaşım uygulaması SnapChat iki puan aldı. İlk puan verilerin kullanıcıdan SnapChat sunucuları aracılığı ile alıcıya iletilmesi aşamasında kullanılan kriptolamadan geldi. İkincisi ise geçtiğimiz yıl bir denetleme geçirmiş olmasından. Listedeki pek çok servis gibi SnapChat’de pek çok eleştiriye hedef oldu. Eleştirilerin sebebi güvenlik eksikliği değil merkezci yaklaşımıydı.

SnapChat arkasındaki temel fikir, mesajların, fotoların veya videoların kullanıcı tarafından belirlenen süre boyunca görünü olması ve sonra yok olmasıydı. Ancak alıcıların ekran yakalama özelliği ile fotoğrafları kaydettiği konusunda gönderici uyarılabilirdi. Daha da kötüsü, SnapHack isimli bir uygulama, SnapChat’in geçiciliğini altüst ederek alıcılara ‘snaps’ ları kolayca kaydetme imkanı sundur. Araştırmacılar imajların asla yok olmadığını ancak bulunması çok zor hale geldiklerini iddia ediyor.

Hangouts_Icon-300x176EFF puan tablosundaki popülerlik açısından ilk üç uygulama da olduğu gibi Google’s Hangouts da iki puan aldı. Hangout çoklu platformda çalışan bir uygulama. Yerleşik Gmail sohbet istemcisi olmasının yanında Android cihazlar ve Google Plus için doğal sohbet istemcisi. Google, Hangouts verilerini transfer aşamasında kriptoluyor ve geçen sen denetleme geçirdi. Ancak mesajlarınızı okuyabilir, kullanıcılar kontaklarının gerçek kimliklerini doğrulayamıyor, kusursuz gizlilik sunmuyor, bağımsız inceleme için kodu açık değil ve güvenlik tasarımı uygun şekilde dokümante edilmemiş.FacebookMessenger-300x176

Facebook mesajlaşma servisinin mobil varyantı olan Facebook Sohbet uygulaması da iki puan aldı. Puan tablosundaki popüler diğer servisler gibi Facebook Sohbet uygulaması verileri transfer aşamasında kriptoluyor ve denetleme geçirdi. Ancak diğer kategorilerden o da puan alamadı.viber-logo-300x143

Viber şüphesiz iki puan alanlar arasında en az popüler olan servis. Kişisel mesajlaşma uygulaması olarak bilinse de, o da sadece transfer aşamasında kriptolama ve denetleme nedeniyle iki puan alabildi.WhatsApp-Logo-300x176

Geldik WhatsApp’ın merak edilen hikayesine. WhatsApp çok popüler bir mesajlaşma uygulaması. Sosyal medya devi Facebook’a için o kadar önem arz ediyor ki geçen sene WhatsApp’ı 19 milyar dolara satın aldı. SMS mesajlaşma protokolünün bir çeşit alternatifi (gsm ağı yerine Ineternet üzerinden çalışıyor) EFF bu servise de listedeki diğerleri gibi iki puan verdi. Ancak bu WhatsApp açısından değişebilir.

Bu değişikliğin nedeni, daha geçen hafta WhatsApp, Open Whisper Systems ile iş ortaklığına giderek Android uygulaması için kriptolama özelliğini ekledi. Referans olması açısından bu iş ortaklığı WhatsApp açısından değişiklik yaratabilir. Whisper Systems’in Signal, RedPhone, SilentText ve SilentPhone uygulamaları EFF skor tablosundaki yedi kategoriden de tam puan aldı. Diğer bir değişle, önümüzdeki günlerde ve aylarda WhatsApp çok daha güvenli bir hale gelebilir.

Şimdilik kriptolama sadece Android cihazlardaki birebir iletişimler için uygulandı. Yani iPhone kullanıcıları ve grup mesaj ağları henüz güvenli değil. Ancak Whisper Systems bu iki konu üzerinde çalıştığını belirtiyor.

WhatsApp kriptolama duyurusunu özetlemek gerekirse;

WhatsApp sadece mesajlaşma uygulaması olarak en popüler uygulama. Onların güvenlik ve gizliliği ciddiye almaları önemli bir haber. Umarız WhatsApp’ın rakipleri de yakında onu izleyecektir.

İpuçları