Signal’de Güvenlik Zafiyetimi Var ?
WhatsApp’ın gizlilik sözleşmesinde aldığı değişiklik kararı sonrası Signal ve Telegram’a büyük kullanıcı göçü başlamıştı. Özellikle Signal, güvenlik ve gizlilik konusunda en iddialı ve tercih edilen yazılımların başında geldi.
Ancak durum gerçekten öyle mi. ? Google’un Project Zero ekibi konu ile ilgili bir dizi açıkmalar ve iddialarda bulundu.
29 Ocak 2019’da IOS’da bir zafiyet keşfedildi. Bu güvenlik açığı FaceTime’daydı ve saldırgan kurbanın izni olmadan iletşime geçiyor ve çevreyi dinlmeye izin veriyordu. Bu zafiyet kısa sürede Apple tarafından kapatıldı ancak Project Zero ekibi işin peşini bırakmadı ve Signal, JioChat, Mocha, Google Duo, ve Facebook Messenger gibi yazılımları incelemeye başladı.
Signal özelinde durum şu şekilde:
Project Zero yaptığı inceleme ve testlerde, Signal kullanıcılarının aralarında görüşme yapmak istedilerinde iletşim sürecini şöyle açıklıyor.
Bu tarz programlar genelde WebRTC altyapısı kullanır. WebRTC gerçek zamanlı web ve mobil arayüzler kullanaral iletişim sağlayan açık kaynak kodlu bir proje.
İlk önce uçtan uca bir bağlantı kurulur, sonrasında aranan tarafından arama kabul edildiğinde bu karşı tarafa cevap olarak gönderilir. Son olarak arayana bağlantıyı kurması için içersinde izinlerinde olduğu bir mesaj gönderilir ve bağlantı sağlanır.
İşte Project Zero ekibine göre zafiyet burada ortaya çıkıyor. Aranan cihaz gelen bağlantının aranan cihaz olup olmadığını kontrol etmiyor.
Project Zero ekini Signal’in kaynak kodunu düzenleyerek başka testlerde yaptıklarını ve zafiyeti doğruladıklarını açıkladılar. Bu zafiyet Eylül 2019’da düzeltiliyor. Aslında sorun Signal kodlarında kaynaklanıyor ve WebRTC entagrasyon sorunlardan olduğu ortaya çıkıyor. Zafiyet sonrası ringrtc kullanılmaya başlanıyor.
Araştırmacılar, diğer yazılımlarda da WebRTC’in tam olarak entegrasyon veya çalışma yapısını tam olarak anlaşılmadığından güvenlik sorunları çıktığını veya çıkabileceğini söylüyorlar.
Sonuç olarak Project Zero şuanda gündemde olan mesajlaşma yazılımlarında başka güvenlik zafiyetleri olabileceğini ve daha fazla araştırma gerektiğini beliriyor.
Kaynak: https://googleprojectzero.blogspot.com/2021/01/the-state-of-state-machines.html