Loading...

Hangi mesajlaşma uygulaması daha güvenli, neden? – Karşılaştırmalı analiz

Arka Kapı Dergi

Hangi mesajlaşma uygulaması daha güvenli?

7 Ocak’ta WhatsApp’ın yayımladığı veri paylaşımı bildirimi sonrası gündemde sıcaklığını koruyan, hangi mesajlaşma uygulaması güvenli, neye göre, nasıl karar vereceğiz sorularının yanıtını bu yazımızda ele alıyoruz olacağız. Signal, Telegram, iMessage, Skype, Allo, Messenger, Riot, Threema, Viber, Wickr ve Wire olmak üzere popüler mesajlaşma uygulamalarının tümüne şöyle bir bakacak, bazılarını ise özel olarak yorumlayacağız. Şimdi WhatsApp tarafından yayımlanan bildiri ile başlayalım yazımıza.

 

7 Ocak 2021 – WhatsApp Veri Paylaşım İzni Bildirimi:

Birkaç gün önce WhatsApp kullanan herkes bu bildiri ile karşılaştı. WhatsApp özetle dedi ki: Verilerinizi Facebook, Instagram ve diğer ilgili şirketler ile paylaşacağız ya bu sözleşmeyi kabul edin ya da hesabınızı sileceğiz ve WhatsApp kullanamayacaksınız. Bu kararınızı da en geç 8 Şubat 2021’e kadar vermelisiniz.

Peki Facebook ve Instagram?

Yazının devamını okurken siz değerli okuyucuların arka planda düşünmesini arz ettiğimiz bir soru var. WhatsApp’a koca bir tepki gösterelim ve kullanmayalım evet, peki aynı şirkete ait olan Facebook ve Instagram’ı kullanmaya devam edecek misiniz? Şimdi buyrun devam edelim.

WhatsApp hangi verileri topluyor?

Donanım bilgileri, işletim sistemi bilgileri, pil seviyesi, sinyal gücü, uygulama sürümü, tarayıcı bilgileri, mobil ağ, dil ve saat dilimi, IP adresi, hesap bilgileri, mesajlar, bağlantılar, durum bilgileri, işlem ve ödeme verileri, müşteri desteği ve diğer iletişimler, kullanım ve kayıt bilgileri, cihaz ve bağlantı bilgileri, konum bilgileri, çerezleri, başkalarının sizin hakkınızda sağladığı bilgileri, kullanıcı şikayetlerini, WhatsApp’taki İşletmeleri, Üçüncü Taraf Hizmet Sağlayıcılarını, Üçüncü Taraf Hizmetleri gibi verileri topladığını söylüyor. Detaylar için bkz: https://www.whatsapp.com/legal/updates/privacy-policy/?lang=tr.

 

WhatsApp bu verileri neden diğer Facebook şirketleri ile paylaşacak?

Facebook tarafından yapılan açıklamaya göre WhatsApp’ın yukarıda bahsettiğimiz verileri Facebook ile diğer ilgili şirketlerle paylaşacak olmasının nedeni, altyapının ve dağıtım sistemlerinin iyileştirilmesine yardımcı olmak, şeklinde ifade edildi. Yapılan açıklama şöyle:

“Altyapının ve dağıtım sistemlerinin iyileştirilmesine yardımcı olmak, Hizmetlerimizin veya onların hizmetlerinin nasıl kullanıldığını anlamak, Facebook Şirketi Ürünleri genelinde emniyeti, güvenliği ve bütünlüğü artırmak; örneğin sistemleri güvence altına almak ve spam, tehditler, kötüye kullanım veya ihlal faaliyetleriyle mücadele etmek, onların hizmetlerini ve sizin bunları kullanma deneyiminizi iyileştirmek, örneğin sizin için önerilerde bulunmak (ör. arkadaşlar, grup bağlantıları veya ilginç içeriklerle ilgili öneriler), özellikleri ve içeriği kişiselleştirmek, satın alımları ve işlemleri tamamlamanıza yardımcı olmak ve Facebook Şirketi Ürünleri genelinde ilgili teklifler ve reklamlar göstermek ve WhatsApp deneyimlerinizi diğer Facebook Şirketi Ürünleri ile birleştirmenizi sağlayan entegrasyonlar sağlamak. Örneğin, WhatsApp’ta satın aldıklarınız için ödeme yapmak üzere Facebook Pay hesabınızı bağlamanıza imkan vermek veya WhatsApp hesabınızı bağlayarak arkadaşlarınızla Portal gibi diğer Facebook Şirketi Ürünleri üzerinden sohbet etmenize olanak sağlamak”.

 

* Önemli: Instagram ve WhatsApp’ın, Facebook’a ait olduğu hala çoğu kimse tarafından bilinmiyor.

Hukuki tarafta bu güncellemenin KVKK ile ters düştüğü ve yine bu güncellemenin AB üye ülkeleri için geçerli olmadığına dair bazı yorumlar var fakat bu yazımızın konusu teknik içerik olduğu için şimdilik bunlara değinmeyeceğiz.

WhatsApp hususunda genel bir özet geçtikten sonra gelelim ana sorumuza, hangi mesajlaşma uygulaması daha güvenli?

 

Hangi mesajlaşma uygulaması daha güvenli?

Yazının başına belirttiğimiz gibi Signal, Telegram, iMessage, Skype, Allo, Messenger, Riot, Threema, Viber, Wickr ve Wire gibi hemen hemen popüler olan tüm mesajlaşma uygulamalarına bir tablo özelinde bakacağız ama öncesinde bir uygulamanın güvenli olup olmadığını, gizliliğe halel getirip getirmediğini genel olarak şu sorular ile yorumluyoruz:

  • Uygulama açık kaynak mı yoksa kapalı kaynak bir uygulama mı?,
  • Kullanıcıdan istediği izinler arasında neler yer alıyor?,
  • Uygulamanın üreticisi kim ve kimler tarafından destekleniyor?,
  • Ücretli bir uygulama mı, reklam içeriyor mu?,
  • Varsayılan olarak izin ve kullanım seçenekleri nasıl geliyor ve bu seçenekleri değiştirmeye ne derece ve ne zorlukta izin veriyor?,
  • Verilerimiz uygulamanın sunucusunda şifreli mi, şifresiz mi tutuluyor? Şifreli ise şifrenin anahtarı kimde var, uygulamanın yetkilileri verileri istediği zaman okuyabilecek mi?
  • Kullanıcıya sunduğu kullanım sözleşmesinde neler yer alıyor?,

 

Önce bu soruları biraz açalım:

  • Bir uygulama açık kaynak ise o uygulamanın, teknik yeterliliğe sahip kimseler tarafından kolaylıkla incelenip, zararlı bir betik ve/veya zafiyet, BUG içerip içermediği anlaşılabilir ama bu demek değildir ki her açık kaynak uygulama eşittir, güvenlidir.
  • Uygulamanın kullanıcıdan istediği erişim izinleri, o uygulamanın cihazda erişebildiği verilerdir ve mümkün mertebe ihtiyaç duymadığı verilere ulaşmaması beklenir.
  • Uygulamanın üreticisinin ve destekleyicisinin kim olduğu neden önemlidir derseniz, bir nebze de olsa üreticisinden ve/veya destekleyicisinden referansla ne amaçla üretildiğini yorumlayabiliriz.
  • Varsayılan erişim izinlerinin ve seçeneklerin nasıl geldiği, neden önemli derseniz; teşbihte hata olmaz, deyip şöyle bir örnek verelim; bir ürün aldınız, ürünün sigorta seçeneği var ama satın alma ya da kurulum sonrası sigorta seçeneği aktif edilmedi,  garip değil mi? 🙂 E, madem sigorta var, aktif olsun, başlatılsın isteriz doğal olarak. İşte tam da bu örnekte olduğu gibi, bazı uygulamalarda ise bu özellik var ama varsayılan seçeneklerde aktif olarak gelmiyor, sizin başlatmanızı istiyor. Yani sağlayıcı size diyor ki, sigortayı istiyorsanız, siz kendiniz söyleyin başlattırın – aktif edin, gibi.. 
  • Veriler, sunucuda şifrelenmeden tutuluyorsa direkt “ofsayt!” zaten. Yok eğer şifreli tutuluyorsa, bu şifrenin anahtarının kimlerde olduğu önemli çünkü; anahtara sahip olmak demek verilerin erişilebilir olması anlamına geliyor.
  • Kim dikkate alıyor canım kullanıcı sözleşmesini!, demeyin. Artık çok daha öyle değil bu işler. En azından gelişmiş ülkelerde böyle diyelim (özellikle Facebook veri sızıntısından sonra). İlgili şirketin, sözleşmede sizden hangi verileri istediği, kullandığı, işleyip işlemediği gibi bilgiler yer almaktadır, dikkatli incelemekte fayda var.

 

Genel anlamda bu birkaç örnek soruya dayanarak bir uygulama hakkında yorum yapabiliyoruz. Şimdi gelelim işin güzel tarafına, taa bir buçuk yıl önce dergimizde yayımladığımız bir tablo vardı; Güvenli Mesajlaşma Uygulamaları Karşılaştırma Tablosu. Bu tabloda yukarıda bizim genel hatlarıyla bir uygulamayı incelemek için sorduğumuzun soruların çok daha fazlası, yanıtlarıyla birlikte var!

Tabloyu sizlerle Türkçe tercümesi ile paylaşıyoruz. Tabloda yer alan 12 mesajlaşma uygulamasından en popüler üç uygulama olan, WhatsApp, Telegram ve Signal özelinde kısa bir yorum yapmak ve bunlara bir de Bip’i eklemek gerekirse, vaziyet şöyle:

 

  • WhatsApp, malumuzun, ABD menşeili, kapalı kaynaklı, bu uygulama Facebook şirketine ait. Bu şirketin ise son yıllardaki ifşa – mahkeme, ihlaller silsilesini vs. bilmiyenimiz yoktur sanıyorum. Tablola da kırmızı ile renklendirilmiş kısımlarda gördüğünüz üzere; bu uygulama zaman damgalarını, IP adreslerini, metadata’ları saklıyor. Bağımsız bir güvenlik analizi yapıl(a)mamış ve kişisel bilgilerin şifrelenmediğini görüyoruz dolayısı ile güvenilir bir uygulama olduğunu söyleyemiyoruz.
  • Telegram, yeni gözde uygulamalardan olan bu mesajlaşma uygulaması Rusya menşeilidir. Aynı WhatsApp’ta olduğu gibi zaman damgalarını, IP adreslerini bu uygulama da kaydediyor. Meta verileri şifrelemiyor, kişisel bilgileri hash’lemiyor. Şeffaflık raporu yok. Normal mesajlar uçtan uca şifreli değil (fakrlı bir yöntem kullanıyorlar), gizli mesajlar uçtan uca şifreli ve SMA Tablo’suna göre mesajlar ilgili şirket tarafından okunabiliyor. Böyle bakınca bu uygulama da pek güvenilir gelmiyor aslında.

Öte yandan Telegram hakkında çok bilinmeyen önemli bir husus var ki aktarmak, altını çizmek gerekir. Vakti ile Telegram kendi ülkesinde kullanımı yasaklı olan bir uygulama iken yakın geçmişte her ne oldu ise, kullanım yasağı kaldırıldı. (İddiaya göre zamanında Rusya’da yasaklı olma nedeni, devletin Telegram verilerine erişmek istemesi ve Telegram’ın bu talebi reddetmesi idi.) Bu bir soru işaretidir çünkü genel olarak bilinir – yorumlanır ki muhterem toplum gözetimcileri (Big brother’lar, hükümetler vs) bu verilere erişmek ister tabiri caizse bal kovanı görmüş ayı gibi dadanmak isterler.. 🙂 Telegram’ın kurucusu bir demecinde bundan ABD özelinde söz etmiştir, şurada kaleme almış idik, meraklıları bakabilir.

  • Signal! Welcome to Paradise! Şu tabloya bakınca sanırım en iç açıcı mesajlaşma uygulaması da Signal oluyor. Hem yaygın, hem de görece daha güvenli bir mesajlaşma uygulamasıdır, diyebiliriz. Signal’e eşdeğer sayılabilecek diğer uygulamalar ise Wickr ve Threema oluyor. 

 

Hiç yerli bir mesajlaşma uygulamasından bahsetmemiş olmamız bizi de üzüyor ama gelin görün ki paylaşabileceğimiz pek bir (güvenli) mesajlaşma uygulaması da yok. Bir ara “bangır bangır” gelen bir uygulama vardı hani şu, dönemin başbakanı tarafından da canlı yayında test edilen, “%100 yerli ve milli” olan, PTT Messenger .. akıbeti mi? Buradan bakınız.

BIP var? Evet var ama maalesef çok şeffaf bir uygulama değil ve uçtan uca şifreleme özelliği de yok. Yani sağlayıcısı mesajlara doğrudan erişebilir. 

Sanırım başka da bir yerli mesajlaşma uygulaması yok.




 

Tabloyu da paylaştıktan sonra kısaca değinmemiz gereken birkaç hususu da paylaşmakta fayda var. Şöyle güzel bir alıntı ile başlayalım:

“If you don’t pay the product you are the product”, yani derler ki, “bir ürüne para verip kullanmıyorsanız muhtemelen o ürün sizsiniz”. Peki ne demek bu? Genel itibari ile koca koca şirketler, onca masraf edip bir ürünü üretiyor ve tamamen “ücretsiz” olarak kullanımınıza sunuyorsa bir şekilde bu uygulama üzerinden doğrudan ya da dolaylı olarak bir kazanç elde ediyor. Alıntının tercümesinde, “o ürün sizsiniz” derken de söylenmek istenen; herhangi bir ücretsiz ürün sağlayıcısının sizi – sizin verilerinizi kullanıyor olması demektir. Dolayısı ile ücretsiz uygulamalara karşı şüpheli bir bakış kazanmalıyız. Tabii bu demek değildir ki tüm ücretsiz uygulamalar bu yaklaşıma sahiptir. Bu noktada da destekleyicileri arasında bağış toplayarak, kominitiler ile yaşamını sürdüren uygulamalar görece daha masumane ve güvenlidir, diyebiliriz.

Facebook, Instagram ve WhatsApp aslında ABD menşeili tek bir şirketin ürünüdür yani WhatsApp’ı bırakıp da Instagram ve Facebook’u kullanmaya devam etmek ise koca bir çelişkidir. Zaten benzer işlemler bu diğer iki uygulama tarafından da yapılıyor. 

Bir diğer yorum ise WhatsApp’ın bu bildirisi ile oldukça dikkat çekmesi gayet normalken denir ki sanki bugüne kadar WhatsApp bu bildiride söylediği verileri alıp işlemiyor muydu? 🙂 

.. deyip bırakmakta fayda var ki yine 7 sayfa olmuş kaleme aldığımız husus. Çok daha detaylara girip değinilecek hususlar var dostlar lakin, özet hali ile konuyu böyle sonlandırmış olalım ki hem okunma oranı artsın(!) hem de daha okunaklı ve anlaşılır olsun.

 

Kalın sağlıcakla,

imza, güvenli günler!

Tablo için referans bağlantımız: https://www.securemessagingapps.com/