Uzmanlar, son günlerde artan güvenlik açıkları nedeniyle Facebook Messenger yerine başka bir alternatife geçmenizi tavsiye ediyor
Facebook'un kullanıcılarında şart kıldığı mesajlaşma uygulaması WhatsApp'ın aksine, içeriğinizi meraklı gözlerden korumak için gereken kritik güvenlik önlemlerini almakta yavaş kaldığı ortaya çıktı. Messenger'a gönderdiğiniz her şey, erişiminin olduğu Facebook sunucularında barındırılıyor. Facebook'un kurallarına uyduğunuzdan emin olmak için bu içeriği "gözetlediğinin" varsayımı yapılabilir, yeni bir güvenlik raporu da özel içeriğinizi herhangi bir uyarı olmaksızın kendi sunucularında süresiz olarak tutulduğunu iddia ediyor.
Raporun arkasındaki ekip, büyük teknoloji platformlarını güvenlik gerekçesiyle hesap verme konusunda iyi bir forma sahip. Tommy Mysk ve Talal Haj Bakry, Apple'ı iOS 14'ün yeniliği olan pano erişim uyarılarına dikkat çekti; Araştırmaları süresince ayrıca TikTok'u ayrım gözetmeksizin Apple kullanıcılarının panolarını okurken tespit etti, bu da nihayetinde viral Çin platformuna karşı ABD'nin harekete geçmesine yol açan teknik tepkinin bir parçası oldu.
Mysk ve Haj Bakry başlangıçta çeşitli mesajlaşma platformlarının sözde "bağlantı önizlemeleri"ni nasıl işlediğini incelemeye başlamıştı. Bir web sitesine, bir haber makalesine veya diğer çevrimiçi içeriğe (özel belgeler dahil) bağlantı gönderdiğinizde, mesajınızın alıcısı genellikle bu içeriğin bir önizlemesini görüyor. Açıkçası bu, bağlantının bir yerde ve bir şekilde izlenmesini ve verilerinin döndürülmesini gerektirir. Ancak bunun yapılma şekli kritik öneme sahiptir. Kısacası, mesajlaşma platformları özel verilere erişebilir, kişisel bilgileri sunucularına indirebilir, hatta kullanıcı konumlarını ifşa edebileceğini düşünebilirsiniz.
Ekip, bugün yayınlanan raporunda, "Bağlantı önizlemelerinin basit bir özelliğin nasıl gizlilik ve güvenlik risklerine sahip olabileceğine dair iyi bir vaka çalışması olduğunu düşünüyoruz" diyor. Mysk ve Haj Bakry, bir dizi mesajlaşma platformunun bağlantı önizlemelerini hiç riske atmadığını fark etse de - biraz ironik bir şekilde, TikTok ve WhatsApp ve iMessage dahil olmak üzere ana uçtan uca şifreli mesajlaşma programları olan WeChat, gönderen tarafı. "Bir bağlantı gönderdiğinizde, [kendi mesajlaşma] uygulamanız gidip bağlantıdakileri indirecek. Web sitesinin bir özetini ve önizleme görüntüsünü oluşturacak ve bunu bağlantıyla birlikte ek olarak gönderecektir. " Uber-safe Signal, gönderen tarafı bağlantı önizlemelerini devre dışı bırakmayı veya kullanmayı öneriyor.
Araştırmacılar, bu tür bağlantı önizlemesinin oldukça güvenli bir güvenlik riski olduğunu açıklıyor. "Bağlantı kötü niyetli ise alıcı riskten korunacaktır. Bu yaklaşım, bağlantıyı açması gereken gönderenin uygulaması olacağı için bağlantıyı gönderenin ona güvenmesi gerektiğini varsayarak hareket eder. "
Tersi yaklaşım, alıcı tarafı bağlantı önizlemesidir ve bu daha tehlikelidir. Bu, herhangi birinin size, cihazınızın kötü amaçlı yazılım indirmek için otomatik olarak izleyebileceği kötü amaçlı bir bağlantı gönderebileceği veya IP adresinizi ifşa edip konumunuza ihanet edebileceği anlamına gelir. Bu, hedef konumları keşfetmek için bir saldırı ortamını yaratır. Mysk ve Haj Bakry, bu yaklaşımı benimseyen ve her ikisi de güvenlik açığını yamalayan yalnızca iki kişiye ulaştı. Şimdilik bu isimler gizli tutulmakta.
Bu da bizi son seçenek olan Facebook Messenger yaklaşımına getiriyor - sunucu tarafı bağlantı önizlemeleri. Raporun açıkladığı gibi, "Bir bağlantı gönderdiğinizde, uygulama bunu önce harici bir sunucuya gönderecek ve ondan bir önizleme oluşturmasını isteyecek, ardından sunucu önizlemeyi hem gönderene hem de alıcıya geri gönderecektir." Ancak bu potansiyel bir güvenlik kabusu olarak değerlendiriliyor. Mysk, "Facebook Messenger, uçtan uca şifrelenmiş gizli görüşmelerinde bağlantı önizlemeleri sunmuyor" dedi.
"Facebook Messenger'da keşfettiğimiz tüm güvenlik açıkları normal sohbetlerde ortaya çıkıyor. Bu, bir şekilde Facebook'un normal sohbetlerde bağlantı önizlemelerinin ele alınma şeklinin kullanıcı gizliliğini etkileyebileceğini kabul ettiğini gösteriyor. "
Araştırmacıların raporlarında belirttiği gibi “Sohbetlerde paylaşılan bağlantılar yalnızca alıcılara yönelik özel bilgiler içerebilir. Bu, faturalar, sözleşmeler, tıbbi kayıtlar veya gizli olabilecek herhangi bir şey olabilir... Uygulama bu sunuculara güveniyor olsa da, kullanıcılara sunucuların bir bağlantıda bulduklarını indirdiklerine dair hiçbir gösterge yok. Sunucular tüm dosyaları mı yoksa önizlemeyi göstermek için küçük bir miktarı mı indiriyor? Tüm dosyaları indiriyorlarsa, sunucular bir kopyasını saklıyor mu ve öyleyse ne kadar süreyle? Ve bu kopyalar güvenli bir şekilde saklanıyor mu yoksa sunucuları çalıştıran kişiler kopyalara erişebilir mi? gibi onlarca soru cevap bekliyor" ifadelerine yer verildi.
Bu, kamu malı web sitelerine bağlantıların çok ötesine geçebilir. Mysk ve Haj Bakry, "Birisine özel bir Dropbox bağlantısı gönderdiğini varsayalım ve başka birinin içinde ne olduğu ise gizli tutuluyor. Bu yaklaşımla, sunucunun önizlemeyi oluşturmak için bağlantıda bulunanların bir kopyasını (veya en azından kısmi bir kopyasını) oluşturması gerekecektir ... Böylece OneDrive'ınızdan bir bağlantı paylaştığınız ve düşündüğünüz o gizli tasarım belgesi artık paylaşmak istemediğiniz için sildiniz mi? Bu bağlantı önizleme sunucularından birinde bir kopyası olabilir. " dedi.
Bir dizi mesajlaşma platformu bu yaklaşımı benimsiyor - aralarında Facebook Messenger ve stablemate Instagram, LinkedIn, Slack, Twitter, Zoom ve Google Hangouts. Ancak önizleme için gereken boyutun ötesinde, yalnızca Facebook platformlarının çok büyük dosyaların indirildiği görüldü. Diğerleri 20 ila 50 MB arasında dururken, araştırmacılar Facebook'un 2.6 GB'lık bir dosyayı sunucularına indirdiğini tesbit edildi.
"Bağlantının gönderildiği anda, birkaç Facebook sunucusu dosyayı sunucumuzdan hemen indirmeye başladı... Facebook sunucuları tarafından sunucumuzdan 24,7 GB veri indirildi ... Facebook sunucularının uygulamalar ne kadar verinin indirileceğine bir sınır koyması gerekiyor. "
Mysk'e göre, “sunucuların bağlantıları açması ve içindekileri indirmesi gerekiyor. Bu bilgiler, bir PDF belgesine özel bağlantı gibi özel bilgilere bağlantılar gönderebilecek kullanıcılara iletilmez. Kullanıcılar, özel bir alanda olduklarına inanmaya yönlendirilirken, uygulamalar sohbette değiş tokuş edilen bilgileri, kullanıcılar farkında olmadan harici sunuculara gönderir. Bu harici sunucular, uygulama operatörü tarafından çalıştırılmasına rağmen, bağlantıda paylaşılan verilerin bir kopyasını alıyor. "
Facebook en azından sınırsız indirme işlemini medya dosyalarıyla sınırlıyor - Instagram her boyutta herhangi bir dosya indiriyor gibi görünüyor. Ancak unutmayın, Instagram ve Messenger şu anda entegre ediliyor. Bu nedenle, güvenlik söz konusu olduğunda onları aynı şekilde düşünmeye değer.
Bu sorun Facebook Messenger ile sınırlı olmamakla birlikte, bu yaklaşımı dosya boyutundan bağımsız olarak özel kullanıcı verileriyle kullanan, test edilen tek ana mesajlaşma programıdır. Bu tür bağlantı önizlemelerini kullanan diğer platformların çoğu, bu şekilde adanmış haberciler değildir, diğer hizmetler içinde daha fazla DM sağlayıcısıdır. Örneğin, uygulama ile ilgisi olmayan büyük, özel ekler göndermek için çok az kişi Twitter DM'lerine güveniyor.
Araştırmacılar ayrıca, bir bağlantının sunucularını yönlendirdiği yerde Instagram'ın kod çalıştıracağını bile keşfettiklerini söylüyorlar - Instagram DM'de kötü niyetli bir JavaScript kod bağlantısı göndermenin Facebook sunucularının kodu çalıştırmasına neden olacağını iddia ediyorlar. Mysk, "[Facebook]'a saldırganın sahip olduğu kötü niyetli bir web sitesine bağlantılar göndererek, sunucularında herhangi bir JavaScript kodu çalıştırabileceğini gösterdik" dedi. "Kötü niyetli kişileri durdurmak için yürürlükte olan kötüye kullanım önleme mekanizmaları olduğunu söyleyerek bu davayı reddettiler."
Bu mesajlaşma platformlarının kullanıcıları için, ana fikir açık ve açıktır. Özel veya kişisel bir şey gönderiyorsanız, bunu yapmak için uçtan uca şifreli bir platform kullandığınızdan emin olun. Bu, içeriğinize erişmek için yalnızca uygulama sunucusu şifrelemesi sunan bir platformun ne kadar kolay olduğunu vurgulamalıdır. Ama sonra Facebook'un şifrelenmemiş içeriği okuduğunu zaten biliyoruz - tek sürpriz, onu kendi sunucularına indirecek olmasıdır.
Yeni rapora yanıt olarak Facebook'tan “Bunlar güvenlik açıkları değil. Açıklanan davranış, Messenger'da bir bağlantının önizlemelerini nasıl gösterdiğimiz veya insanların Instagram'da bir bağlantıyı nasıl paylaşabileceğidir ve bu verileri saklamıyoruz. Bu, veri politikamız ve hizmet şartlarımızla tutarlıdır." açıklaması yapılırken Şirket ayrıca, uzaktan kod yürütme saldırılarına karşı koruma sağlamak için perde arkasında ek güvenlik önlemlerinin uygulandığını bilgisi paylaşıldı. Gizlilik endişelerine gelince, Facebook şifrelenmemiş sohbetleri izlemenin artık kamu malı olduğunu kabul etmesi de gözlerden kaçmadı.
Facebook'un kendisi, dünyanın uçtan-uca şifrelemenin başlıca savunucularından biridir. Kendi altyapısının tehlikeye girme riskini azaltmak için Messenger'da gizli görüşmeler özelliğini başlattı. Teknik nedenlerden ötürü, bunu varsayılan yapamayacakları ortada.
Facebook aynı zamanda Messenger'ın meslektaşı olan WhatsApp tarafından kullanılan şifrelemenin önde gelen savunucularından birisi ve neden uçtan-uca şifrelemeye ihtiyaç duyduğunuza dair açıklaması onu mükemmel bir şekilde özetlemektedir. "En kişisel anlarınızdan bazıları WhatsApp ile paylaşılıyor, bu yüzden uygulamamıza uçtan uca şifreleme ekledik. Uçtan uca şifrelendiğinde mesajlar, fotoğraflar, videolar, sesli mesajlar, belgeler ve aramaların yanlış ellere geçmesi önlenir. " ifadelerine yer veriliyor.
Bu yeni rapor, pratikte tüm bunların ne anlama geldiğini gösteriyor. Ve bu nedenle, Facebook Messenger veya daha kötüsü SMS dahil güvenli olmayan bir mesajlaşma platformuna sıkı sıkıya bağlı kalıyorsanız, şimdi geçiş yapma zamanı. WhatsApp, Facebook'un para kazanma güdüsüne rağmen, büyük bir kullanıcı tabanı ve ihtiyacınız olan tüm işlevlerle günlük iyi bir seçim olmaya devam ediyor. Ancak Facebook'tan tamamen kaçmak istiyorsanız, açıkça daha güvenli seçenekler var.
Mysk, "Sunucularda bağlantı önizlemeleri oluşturan uygulamalar bağlantıların içeriğini sızdırabilir" diye uyarıyor. "Sızan içerik kişisel kabul edilirse, kişisel kullanıcı verileri kesinlikle risk altındadır. Bu tür sunucuların verileri ne kadar süreyle depoladığı ve bu sunucuların verileri güvenli bir şekilde depolayıp depolamadığı veya uygulamanın belirttiği gizlilik politikasına uygun olup olmadığı açık değildir. Facebook bu gizlilik endişelerinin hiçbirine cevap vermediğinden, bu tür uygulamalarda özel bilgilere bağlantılar göndermekten kaçınırım. Güvenli tarafta olmak istiyorsanız, uçtan uca şifreli bir uygulamaya geçmeniz yeterli. "