Şimdiye dek, uçtan uca şifreleme özelliğine sahip güvenli mesajlaşma uygulamalarını karşılaştıran birden fazla yazı yayımladık, önerilen ayarları paylaştık ve bu uygulamaların çeşitli kusurlarını tartıştık. Peki ya güvenli bir mesajlaşma uygulaması kullanmak isteyen ancak teknoloji meraklısı olarak tanımlayamayacağımız kişiler ne olacak? Bu blog yazısı tam da onlara göre –Tech Policy Press ve Convocation Research and Design kuruluşlarından bir grup uzmanın gerçekleştirdiği kapsamlı çalışma ve yayımladıkları Güvenli Ne Demektir? başlıklı raporla ilgili detayları burada bulabilirsiniz.
Rapor, hem kullanıcılar hem de geliştiriciler için öneriler içeriyor. Ancak, 86 sayfalık metnin tamamını herkes okumak istemeyeceğinden, makalenin ana sonuçlarını aşağıda özetliyoruz.
Çalışmanın amacı
Araştırmacılar, mevcut mesajlaşma uygulamalarının en güçlü ve en zayıf noktalarını belirlemek için Amerika Birleşik Devletleri’nin Louisiana ve Hindistan’ın Delhi şehrindeki kullanıcı gruplarıyla röportajlar yaptı. Aşağıdaki popüler uygulamalar incelendi:
- Apple iMessage
- Meta (Facebook) Messenger
- Messages by Google
- Signal
- Telegram
Çalışma, insanların uygulama içindeki tavsiyelere nasıl yanıt verdiğine ve her bir özelliği nasıl yorumladıklarına odaklandı. Daha da önemlisi, katılımcılara konuyla ilgili endişelerinin yanı sıra güvenli mesajlaşma uygulamalarının hayatlarında hangi yönlerden yararlı olduğunu veya olabileceğini düşündükleri soruldu. Görüşülen kişilerden bazıları, mesajlaşmayla bağlantılı olarak gerçekleşebilecek aile içi şiddet gibi potansiyel fiziksel şiddet olaylarından endişe duyduklarını söylerken, diğerleri yetkililerin bu verilere erişerek kullanıcılara zarar vermesinden korktuklarını belirtiyor. Bu durum, görüşülen kişilerin “güvenli” algısı üzerinde önemli bir etkiye sahipti.
Ana sonuç
Uçtan uca şifreleme, güvenliğin yalnızca bir yönüdür. Şifreli mesajlaşma, tehdit altındaki bir kullanıcının yaşadığı her sorunu çözmez. Bu nedenle, size zarar vermek isteyebilecek potansiyel siber düşmanlara karşı etkili bir strateji düşünmek gerekir. Telefonunuzun ele geçirilme riski var mı? Telefonunuzun kilidini açmaya zorlanmanız gibi bir risk var mı? Birinin, dava veya yasal bir emir yoluyla uygulamanın sahibi olan şirketten verilerinizi almaya çalışabileceğinden mi korkuyorsunuz? Veya birilerinin telefonunuza casus yazılım bulaştırabileceğinden mi? Kötü niyetli kişilerin bu verileri sohbet ettiğiniz kişilerden almaya çalışması daha mı kolay olur? Birçok kişi için, yukarıdaki sorularının her birinin cevabı hayırdır. Bu nedenle şifreli bir mesajlaşma uygulaması kendi başına yeterli güvenliği sağlar. Yanıtınız evet olsa bile bu, şifreleme ve güvenli mesajlaşmadan vazgeçmeniz için bir neden değildir. Bu özelliklerin, kullandığınız mesajlaşma uygulamasındaki savunmanın bir katmanı olmaları yeterlidir.
Daha fazla tavsiye verecek olursak, araştırmacılar yukarıdaki savunmasız kullanıcı gruplarının birkaç teknik önlem (aşağıdakiler hakkında daha fazla bilgi) almalarını da tavsiye ediyor. Alınabilecek bu önlemlerden en önemlisi, telefonlarının fiziksel olarak ele geçirilebilecekleri veya zorla açılabilecekleri yerlerde yanlarında taşımamaları. Bu tür tehlikeli yerler için ikinci bir telefon almalarını ve ana cihazı güvenebilecekleri bir kişiye emanet etmelerini öneriyorlar.
Güvenli mesajlaşma hakkında genel tavsiyeler
En büyük sırlar yüz yüzeyken paylaşılır. Hiçbir dijital iletişim yöntemi tamamen güvenli değildir. Bu nedenle, en riskli bilgiler – özellikle sağlığa ve hayata dair tehdit oluşturuyorsa – uygulamada sohbet edilirken değil, yüz yüzeyken tartışılmalıdır.
Körü körüne karar vermeyin. Kullanıcılar, mahremiyetlerini korumak için bilinçli bir çaba sarf eder. Ancak genellikle güvenlikle ilgili geçerliliği doğrulanmış kaynaklara değil, popüler görüşlere daha çok güvenirler. Mesajlaşma uygulamalarına eşlik eden ve çoğunlukla okunmayan belgeler: kullanım koşulları veya şeffaflık ve devlete veri paylaşımıyla ilgili raporlar. Mesajlaşma hizmetinizin şimdi veya geçmişte gerçekte hangi verileri depoladığını, nerede ve kimlerle paylaştığını dikkatlice araştırın. Bu bilgi şeffaflık raporlarında ve basınla paylaşılanlar arasında bulunabilir.
Uygulama ayarlarını dikkatlice inceleyin. Her ayarı iyice anlayın ve en güvenli seçeneklerin tümünü açın. Gizlilik ayarlarının bazı bölümlerinin telefonun genel ayarlarına (özellikle iOS’ta iMessage ve Android’de Messages by Google için geçerlidir) veya uygulama ayarlarının bazı bölümlerine (Telegram’da sürekli olarak yaşandığı gibi) etki edebileceğini unutmayın.
Hibrit modlardan kaçının. Birkaç mesajlaşma uygulaması hem şifreli hem de şifresiz mesajlaşmayı destekler. iMessage ve Messages by Google’da, aynı sohbet içinde hem açık metinler hem de şifreli mesajlar gönderebilirsiniz. Ancak, bu iki mesaj türü her zaman karıştırıldığı için bu yöntemi kullanmak çoğunlukla kötü bir fikirdir. Hem Messenger hem de Telegram, varsayılan olarak şifrelenmemiş modu kullanır, ancak şifreli ve şifresiz olarak ayrı sohbet seçeneklerine sahiptir. Makale, tam şifreleme uygulayan mesajlaşma uygulamalarının kullanılmasını öneriyor: Signal veya WhatsApp.
Daha fazla özellik – daha yüksek risk. Hikayeler, botlar veya sosyal ağ hizmetlerine bağlantılar gibi ekstra özellikler, ekstra gözetim ve veri sızıntısı kanalları demektir. Bu tür özellikleri kapatmak veya uygulamayı hiç kullanmamak en iyisidir.
Bağlantı ön izlemelerini, coğrafi konum paylaşımını ve GIF’leri devre dışı bırakın. Bu özellikler bazen işe yarar, ancak bağlantılı web siteleri de dahil olmak üzere çeşitli taraflarca sizi izlemek için kullanılabilirler. Bir başka potansiyel sızıntı kanalı da sohbetlerde GIF bulup paylaşmaktır.
Telefon numarası olmadan çalışan mesajlaşma uygulamaları sızıntıları önlemek açısından faydalıdır. Bu uygulamalara, bir dereceye kadar Telegram, Messenger ve iMessage da dahildir. Ancak, bu mesajlaşma uygulamalarının her birini, sohbet ederken dahili kullanıcı adınızı veya e-postanızı kimlik tanımlayıcınız olarak kullanılacak şekilde yapılandırmak biraz zamanınızı alabilir. Rapora göre WhatsApp ve Signal da buna benzer bir özellik eklemeyi planlıyor.
Kaybolan mesaj özelliğini kullanın. Aramızda veri güvenliği konusunda en titiz olan kişiler, sohbetlerin bir dakika gibi kısa bir süre sonra otomatik olarak silinmesini de tercih edebilir. Ne yazık ki, her mesajlaşma uygulamasında bu tür seçenekler yoktur ve bazılarında bir mesaj için en kısa görünürlük süresi 24 saattir. Kaybolan mesajlar, sizi ekran görüntülerinden veya sohbetlerin kaydedilebileceği diğer yollardan korumak söz konusu olduğunda fazla etkili değildir. Mesajlaşmalarınız sonrasında yabancıların telefonunuzu kurcalayacağını düşünüyorsanız, mesajların otomatik olarak silinmesi yararlıdır.
Sohbetleriniz yedeklendiğinde bu dosyaları şifreleyin. Varsayılan bulut yedeklemeleri sık görülen bir sızıntı kanalıdır, bu nedenle şifrelenmiş olmaları (hem WhatsApp hem de iMessage’da manüel olarak etkinleştirilmesi gerekir), yerel olarak kaydedilmeleri (örneğin, bir Android telefon kullanılıyorsa bir SD karta) veya tamamen kapatılmaları gerekir. Tüm yerel yedeklemeler de şifrelenmelidir.
Sohbet ettiğiniz kişilerle, kullandığınız şifreleme anahtarlarını karşılaştırın. Bu prosedür, farklı mesajlaşma uygulamalarında farklı şekillerde adlandırılır: İletişim Anahtarı Doğrulaması (iMessage’da), Güvenlik Numaraları (Signal’de), Güvenlik Kodu (WhatsApp’ta) ve Şifreleme anahtarı (Telegram’da). Bu prosedür ayrıca doğru kişiyle sohbet ettiğinizden emin olmanıza yardımcı olur – doğru cihazı kullandığınız sürece. Şifreleme anahtarları, her sohbet için kodlar karşılaştırılarak veya yüz yüze görüşülerek doğrulanabilir.
İki faktörlü kimlik doğrulamasını etkinleştirerek hesabınızın ele geçirilmesine karşı kendinizi koruyun. Bu özellik, İki Adımlı Doğrulama, Kayıt PIN’i veya farklı çeşitli adlar altında gelir, ancak özünde hepsi aynıdır: yeni bir cihazda aynı hesap üzerinden oturum açmak için ekstra bir doğrulama adımı gerekir.
Sohbet ettiğiniz kişileri eğitin. Bu, hassas konular hakkında sohbet eden gruplar açısından çok önemlidir. Bu, tüm üyelerin aşağıdaki etik ve güvenlik kurallarını uygulamalarını ve bunlara uymalarını gerektirir:
- Gizli bilgilerin iletilmemesi
- Sohbette ekran görüntüsü veya bilgilerin başka türlü herhangi bir kopyasının bulunmaması
- Topluluk içinde mahremiyet kültürünü desteklemek
- Uygulama ayarlarını akıllıca kullanmak
- Potansiyel olarak risk teşkil eden sohbet özelliklerini devre dışı bırakma
En güvenli mesajlaşma uygulaması nedir?
Bu çalışmaya göre Signal açık ara lider. Ancak, bu uygulamayı kullanırken telefon numaranızı ifşa etmenizin gerekmesi durumu biraz karmaşık hale getiriyor. Aşağıdaki tabloda, popüler mesajlaşma uygulamaları güvenlik özellikleri açısından karşılaştırılmıştır. Her satırdaki en güvenli seçenek yeşil renkle vurgulanmıştır.
Apple iMessage | Meta (FB) Messenger | Google Messages | Signal | Telegram | ||
Bire bir sohbetlerde uçtan uca şifreleme | Belirli durumlarda* | Özel sohbet türü | Belirli durumlarda* | Her zaman | Yalnızca gizli sohbetler | Her zaman |
Grup sohbetlerinde uçtan uca şifreleme | Belirli durumlarda* | Özel grup türü | Belirli durumlarda* | Her zaman | Asla | Her zaman |
Doğrulanmış şifreleme protokolü | Hayır | Evet | Evet | Evet | Hayır | Evet |
Şifreli yedeklemeler | Evet, isteğe bağlı | Yedek yok | Hayır | Evet, varsayılan olarak açık | Yedek yok | Evet, isteğe bağlı |
Şifreleme anahtarlarının manüel olarak karşılaştırılması | Evet | Evet | Hayır | Evet | Evet | Evet |
Telefon numarasız kayıt | Evet | Evet (karmaşık) | Hayır | Hayır | Hayır | Hayır |
Telefon numarasını kişilerden gizleme | Evet | Evet | Hayır | Hayır | Evet | Hayır |
Bu uygulamalardaki diğer hizmetler veya hesaplarla bağlantılar | Evet | Evet | Hayır | Hayır | Hayır | Evet |
Meta verileri gizleme** | Kısmi | Kısmi | Kısmi | Evet | Kısmi | Kısmi |
Meta verileri depolama** | Evet | Evet | Evet | Hayır | Evet | Evet |
Kendi kendini imha eden mesajlar | Hayır | Beş saniye veya daha uzun | Hayır | Bir saniye veya daha uzun | Bir saniye veya daha uzun | 24 saat veya daha uzun ve tek seferlik görüntüleme |
Bağlantı ön izlemelerini devre dışı bırakma | Hayır | Hayır | Hayır | Evet | Yalnızca gizli sohbetler | Hayır |
Ekran görüntülerini engelleme | Hayır | Hayır | Hayır | Evet | Yalnızca gizli sohbetler | Hayır |
Ekran görüntüsü uyarısı | Hayır | Evet | Hayır | Hayır | Hayır | Hayır |
* Tüm taraflar aynı platformu (iOS veya Android) ve uygun uygulama ayarlarını kullandığı sürece kullanılabilir. | ||||||
** Aşağıdaki meta verilerin kısmen veya tamamen diğer kullanıcılara gösterilmesini önlemek için gizlilik ayarları: kullanıcının fotoğrafı, kullanıcının diğer kişileri, sohbet ve grup üyelikleri, IP adresi ve sohbet süreleri. | ||||||
Tablo, Güvenli Ne Demektir? adlı raporun verileri dikkate alınarak hazırlanmıştır. |