FBI, iPhone ve Android kullanıcılarını uyardı: Mesajlaşma uygulamaları neden riskli?

Geçen hafta FBI, iPhone ve Android kullanıcılarını mesajlaşmayı bırakmaları ve bunun yerine şifreli bir mesajlaşma platformu kullanmaları konusunda uyardı. Haber dünya çapında manşetlere taşındı ve siber uzmanlar akıllı telefon kullanıcılarını tamamen güvenli platformlara geçmeye çağırdı. Ancak FBI'ın şifreli platformları kullanan ABD vatandaşları için de ciddi bir güvenlik uyarısı var. Kuruma göre bu uygulamaların değişmesi gerekiyor.

Çin, ABD telekomünikasyon ağlarına yönelik devam eden siber saldırılarda parmağı olduğunu reddederek bunu “Çin'i karalamak için bir bahane” olarak tanımlasa da devlet kurumları Çin Devlet Güvenlik Bakanlığı ile bağlantılı Salt Typhoon bilgisayar korsanlarının birden fazla ağa sızarak hem meta verileri hem de gerçek içeriği riske attığını açıkça belirtiyor.

Kullanıcıların yapması gerekenler

İçeriğin şifrelenmesi önemli bir çözüm ve FBI'ın vatandaşlara tavsiyesi nettir: Zamanında işletim sistemi güncellemelerini otomatik olarak alan bir cep telefonu, sorumlu bir şekilde yönetilen şifreleme ve e-posta, sosyal medya ve işbirliği aracı hesapları için kimlik avına dayanıklı MFA (Çok faktörlü kimlik doğrulaması) kullanın.

Salt Typhoon'u konu alan neredeyse tüm haberlerde gözden kaçan şey FBI'ın kesin uyarısıydı. “Sorumlu bir şekilde yönetilen” şifreleme oyunun kurallarını değiştirir. Siber uzmanların ve medyanın SMS/RCS kullanıcılarını geçmeye çağırdığı mesajlaşma platformlarının hiçbiri bu tanıma göre “sorumlu bir şekilde yönetilen” platformlar değil.

Sadece Apple, Google ve Meta sağlıyor

FBI şimdi geçen haftaki uyarısını, “Kolluk kuvvetleri güçlü, sorumlu bir şekilde yönetilen şifrelemeyi desteklemektedir. Bu şifreleme insanların mahremiyetini koruyacak şekilde tasarlanmalı ve aynı zamanda ABD'li teknoloji şirketlerinin yasal bir mahkeme emrine karşılık olarak okunabilir içerik sağlayabilmesi için yönetilmelidir” ifadeleriyle genişletti. Uçtan uca şifrelenmiş mesajlaşma konusunda önemli olan sadece üç sağlayıcı var. Apple, Google ve Meta. Bunlar, FBI'ın “yasal bir mahkeme emrine yanıt olarak okunabilir içerik sağlamak” için platformlarını ve politikalarını değiştirmesi gerektiğini söylediği ABD teknoloji şirketleri.

Gerektiğinde içeriğe ulaşabilmek istiyorlar

Bu, FBI'a ya da diğer kurumlara içeriğe doğrudan erişim hakkı vermek anlamına gelmiyor; Meta, Apple ve Google'ın bir mahkeme tarafından talep edildiğinde içerik sağlamak için gerekli araçlara ve anahtarlara sahip olması gerektiği anlamına geliyor. Şu anda bunu yapamıyorlar, Polis şefleri ve diğer kurumlar bu durumu “karanlıkta kalmak” olarak tanımlıyor ve bunun değişmesini istiyorlar.

Bu bir ikilem. Apple, Google ve Meta, kullanıcı içeriğine erişimlerinin olmamasını bir erdem haline getiriyor. Örneğin Apple, uçtan uca şifrelenmiş verilerin yalnızca Apple Hesabınızda oturum açtığınız güvenilir aygıtlarınızda şifresinin çözülebileceğini garanti eder. Uçtan uca şifrelenmiş verilerinize Apple dahil hiç kimse erişemez ve bu veriler bulutta bir veri ihlali olması durumunda bile güvende kalır. 

Kullanıcılar bunu nasıl karşılayacak?

Buradaki ikilem, eskiden olduğu gibi Google ya da Meta ve hatta Apple'ın anahtarlara sahip olması durumunda uçtan uca şifreleme alanının ortadan kalkması anlamına geliyor. Google'ın gerektiğinde/istediğinde halihazırda şifrelenmiş içeriklerine erişebilmesi durumunda kullanıcılar nasıl hissedecek? Bu, kolluk kuvvetlerine duyulan güven ya da güvensizlik kadar büyük teknolojiye duyulan güvensizlikle de ilgili. Her zaman olduğu gibi, tartışma ABD ve Avrupa'da tek yönlü ilerlerken, aynı teknik arka kapılar Orta Doğu, Afrika, Çin, Rusya, Güney Doğu Asya, mahremiyet ve devlet izleme faaliyetleri konusunda farklı görüşlere sahip ülkelerde de var olacak.

FBI aslında kullanıcıları Google ve Apple'ın kendi platformlarında mesajlaşmamaları konusunda uyardı bile. Bu da Meta'yı platformlar arası, şifreli mesajlaşmada dünyanın önde gelen sağlayıcısı olarak bırakıyor. WhatsApp ve Facebook Messenger'ın her biri milyarlarca kullanıcıya sahip.

Telegram’ın güvenlik tartışmaları

Korea Times'ın haberine göre sıkıyönetim altında devlet sansürü korkusuyla Güney Kore'de Telegram kullananların sayısı arttı. Telegram, dünyanın önde gelen güvenli mesajlaşma programları arasında olması da biraz tartışmalı. Çünkü aslında her zaman iddia ettiği kadar güvenli değil WhatsApp veya Signal veya Facebook Messenger'ın ya da kendi duvarlı bahçelerindeki iMessage ve Google Mesajlar'ın aksine, Telegram varsayılan olarak içeriği uçtan uca şifrelemiyor. Ancak Telegram her zaman pazarlamanın gücünün güzel bir örneği olan diğer ana akım platformlara güvenli bir alternatif olarak görülüyor. The Korea Times, IGAWork'ün “Başkan Yoon Suk Yeol'un sıkıyönetim ilan ettiği ancak birkaç saat içinde Ulusal Meclis tarafından iptal edildiği güne” ait verilerine atıfta bulunarak, “Yeni Telegram kurulumlarının sayısı geçen salı 40 bin 576’ya ulaştı” diye yazdı. 

Telegram'ın güvenlik açıkları bu yıl, milyarder CEO'su Pavel Durov'un Fransa'da tutuklanması ve ardından Telegram'ın asla yapmayacağını söylediği bir şey olan yetkililerle işbirliğinden vazgeçmesiyle zirveye çıktı. Platform kullanıcı verilerini teslim etmeye ve içerik izlemeye başladı. İronik bir şekilde, bu tür bir izlemeyi mümkün kılan yalnızca Telegram'ın güvenlik zayıflıkları ve uçtan uca şifreleme eksikliği.