Son günlerde ana gündemimiz, 2 milyardan fazla aktif kullanıcısı ile dünyanın en büyük mesajlaşma uygulaması WhatsApp. Yeni kullanıcı sözleşmesinde gizlilik açısından yaptığı değişiklikler ile kullanıcı verilerini işleyeceğini açıkça belirten WhatsApp onay vermeyenlerin 8 Şubat 2021‘den sonra uygulamayı kullanmasına izin vermeyecek. Bu hamle sonrasında kullanıcılar Telegram ve Signal gibi alternatiflere yönelmeye başladı. Peki hangisi daha güvenli?

WhatsApp vs Telegram vs Signal karşılaştırma

Telegram’ın yaklaşık 400 milyon, Signal’ın ise 10 – 20 milyon arasında bir kullanıcısı bulunuyor. Üç farklı mesajlaşma uygulamasını güvenliğin yanı sıra merkezinin hangi ülkede olduğunu sizlerle paylaşıyoruz.

WhatsApp: Mesajları okumuyorlar, gerisi onlarda

WhatsApp’ın güvenlik tarafında ön plana çıkardığı özellik, uçtan uca şifreleme. Mesajlarınız, video ve sesli görüşmeleriniz, fotoğraflarınız ve karşı taraf ile paylaştığınız tüm dosyalar WhatsApp’ta şifreleniyor. Yani teknik olarak siz ve mesajlaştığınız kişi dışında kimse bunları göremez.

WhatsApp’ın pek bilinmeyen ancak dikkat çeken bir diğer özelliği ise, şu anda en güvenli mesajlaşma uygulamalarından birisi olarak görülen Signal’ın arkasındaki isim olan Open Whisper Systems tarafından geliştirilen uçtan uca şifrelem protokolünü kullanması: Signal Protocol

2016’dan bu yana WhatsApp tarafından kullanılan Signal Protokolü uygulamada kullanılan uçtan uca şifrelemenin temeli. Tüm iletişim şifrelenirken, yedeklerin (bulut ve yerel) şifrelenmemesi dikkat çekiyor. Ayrıca meta verileri de şifrelenmiyor, yani mesajlarınıza okunmuyor olsa da meta verileri sayesinde yetkililer birisine ne zaman ve ne kadar süreyle mesaj gönderdiğinizi bilebiliyor.

Arka plandaki güvenlik önlemlerinin yanı sıra kullanıcılara sunulan seçeneklerde önemli. WhatsApp uygulamaya erişim için biyometrik doğrulama seçeceğinini aktif etmenize imkan tanıyor, yani parmak izi veya yüz tanıma zorunluluğu getirebiliyorsunuz. Bunun yanı sıra iki adımlı doğrulama özelliği de bulunuyor.

Özetlemek gerekirse: WhatsApp mesajlarınızın güvenliği konusunda oldukça iyi iş çıkarıyor. “Peki bu yeni sözleşme?” dediğiniz duyar gibiyim, evet WhatsApp mesajlarınızı okuyamıyor ancak yukarıda belirttiğimiz üzere kiminle ne sıklıkla, nerede mesajlaştığınızı, hangi ağlara bağlandığınızı, cihazınızın özelliklerini ve daha birçok veriyi işleyerek paylaşacak. Bu oldukça sakıncalı bir durum.

Tüm yönleriyle WhatsApp yeni sözleşme: Neden tehlikeli?

Tüm yönleriyle WhatsApp yeni sözleşme: Neden tehlikeli?

WhatsApp, yeni kullanıcı sözleşmesi ile ortalığı ayağa kaldırdı. SDN editörü Facebook'a verileri açma izni veren WhatsApp yeni sözleşmeyi tüm yönleriyle masaya yatırdı. İşte detaylar...

Telegram: Popülerliği yüksek, güvenliği düşük

WhatsApp’ın yeni sözleşmesini kabul etmek istemeyen kişilerin büyük bir bölümü, Telegram’ı yüklüyor. Eğer aktif bir kullanıcıysanız, “xxxx Telegram’a katıldı” şeklindeki bildirimlerden bıkmış olma ihtimaliniz yüksek 🙂

Maalesef bu uygulama hakkında çok ciddi bir yanılgı var. Evet, kullanıcılarına çeşitli korumalar sunuyor. Peki mesajlaşma uygulamarı için vazgeçilmez haline gelen uçtan uca şifreleme özelliğinin Telegram’da varsayılan olarak kapalı geldiğini biliyor muydunuz?

Daha da kötüsü Gizli Sohbet özelliğini yani şifrelemeyi başlatmak için görüşmek istediğiniz kişiye tıklamanız sonra profiline girmeniz ve “Gizli Sohbet Başlat” seçeneğine tıklamanız gekekiyor. Hiç pratik değil :/

Yani varsayılan olarak mesajınız telefonunuzda şifreleniyor ve sunucuya gönderiliyor. Burada tekrar şifrelendikten sonra alıcıya ulaştırılıyor. Telegram bu şifreleme anahtarlara sahip olduğu için teorik olarak mesajlarınıza erişebilir.

Şirket bugüne kadar üçüncü şahıslar ve hükümetlerle herhangi bir veri paylaşmadığını söylüyor. Hadi diyelim ki şifrelemeyi aktif ettiniz, gizli sohbet özelliğini kullanıyorsunuz. Telegram bu tarafta kendi şifreleme protokolü olan MTProto‘yu kullanıyor. Bu çok iyi bir şifreleme sistemi olabilir, ancak açık kaynak olmadığı için güvenlik araştırmacıları bunu doğrulayamıyor.

Bu nedenle siber güvenlik uzmanları, Signal protokolü gibi açık kaynaklı ve yaygın bir protokol kullanmanın, Telegram’da özel bir kapalı kaynaklı şifreleme protokolü kullanmaktan daha iyi olacağını sıkça dile getiriyor.

Daha da kötüsü Telegram gruplarındaki görüşmelerin hiç biri şifrelenmiyor, masaüstü uygulamasında da macOS dışında hiçbir platformda yani Windows ve Linux’ta uçtan uca şifreleme özelliği desteklenmiyor.

Telegram’da WhatsApp ile benzer şekilde uygulamaya kilit koymanıza izin veriyor. Ancak düşünülenin aksine, güvenlik konusunda WhatsApp ve Signal’ın gerisinde kalıyor.

Telegram kime ait? Nasıl kuruldu?

2013 yılında Nikolai Durov ve küçük kardeşi Pavel Durov tarafından piyasaya sürüldü. Her ikisi de Rusya’da yaşıyordu, ancak şu anda sürgüne gönderildilerini söyleyebiliriz. Pavel Durov, Ukraynalı protestocuların verilerini Rusya’nın güvenlik teşkilatlarına vermeyi reddetmesinin ardından bir Rus sosyal medya sitesi VK CEO’suyken görevden alındı. Sansür ve hükümet müdahalesine karşı ilkeli bir tutum benimsemiş olması, güven veriyor.

Pavel Durov

Rusya’yı terk ettikten sonra Güney Amerika’da bulunan Saint Kitts ve Nevis adında bağımsız bir ada ülkesinden vatandaşlık aldı. Ancak uçtan uca şifrelemenin varsayılan olarak aktif olmaması ve diğer konular Telegram konusunda soru işaretleri oluşturuyor. 

Signal: Güvenlik konusunda en iyisi

WhatsApp’tan Telegram’a geçişin daha fazla olmasında, kullanıcı sayısının etkisi çok yüksek. Telefonuza Telegram’ı yüklediğinizde rehberinizde onlarca kişinin zaten kullandığını görme ihtimalini göreceksinizdir, ancak Signal’da bu sayı genelde birkaç kişiye düşüyor.

Söz konusu güvenlikse, Signal açık ara farkla en iyisi. Yazının başında belirttiğimiz üzere WhatsApp’ın da kullanmakta olduğu çok kaynaklı Signal Protokolü’nü temel alıyor ve bu sayede tüm iletişimi uçtan uca şifreliyor.

WhatsApp sadece mesajları ve aramaları şifrelerken, Signal bir adım daha ileriye giderek meta verilerini de şifreliyor. Bununla da yetinmiyor ve kişiler arasında güvenli iletişim için Sealed Sender özelliğini kullanıyor.

Sealed Sender ile kimin kime mesaj gönderdiğini kimse – Signal bile – bilmiyor. Diğer uygulamalar ile benzer şekilde ekran kilidi özelliğine sahip olan Signal’ın sunduğu güvenlik önlemleri bunlarla da sınırlı değil.

İki adımlı doğrulamaya ek olarak, ekran görüntülerini engelleme seçeceği de sunuluyor. Ayrıca karşı tarafa herhangi bir görüntü atmadan önce yüzlerin otomatik olarak bulanıklaştırılmasını sağlayan bir özelliği kullanıma sundu.

Varsayılan olarak cihazda barındırdığı tüm dosyaları 4 basamaklı bir parola ile şifreliyor, şifreli bir yedek oluşturmanızı izin veriyor ve grup görüşmeleri de şifreli bir şekilde gerçekleştiriliyor.

İsrail merkezli dijital istihbarat şirketi Cellebrite, Signal’in güvenlik özelliklerini hacklemeyi başardığına dair haberler yaydı. Ancak bu iddiaların gerçek olmadığı Signal tarafından doğrulandı.

Signal kim tarafından kuruldu? Kime ait?

Üç uygulama arasında favorimiz olan Signal, kriptograf Moxie Marlinspike ve Brian Acton tarafından yönetilen kar amacı gütmeyen Signal Foundation’a ait. Moxie Marlinspike, Signal protokolünün arkasındaki fikir olan Open Whisper Systems ile tanınıyor. 2018 yılında Brian Acton ile tanıştıktan sonra Signal Foundation adlı yeni bir ittifak kurdular. Artık Signal Messenger’ın gelişimini buradan finanse ediyorlar.

Brian Acton’ın WhatsApp’ın kurucu ortağı olması dikkat çekici bir detay. Ancak Facebook’un satın almasından 3 yıl sonra şirketten ayrıldı.

Özet: Hangi mesajlaşma uygulamasını kullanmalıyız?

Son kullanıcı gözünden değerlendirecek olursak, okul gruplarından iş gruplarına kadar takibi ve iletişimi zorunlu olan tüm kanallar genellikle WhatsApp’ta. Bunun yanı sıra WhatsApp’ı kullananların sayısı, diğer uygulamalara kıyasla oldukça fazla.

Eğer ben WhatsApp’ı kullanmayacağım ve bir alternatif arıyorum diyorsanız, Signal kesinlikle en iyi çözüm. Telegram’ın kullanılmasını yukarıdaki sebeplerden dolayı pek tavsiye etmiyoruz.

Turkcell BiP nedir? 

Son günlerde gündemden düşmeyen Turkcell BiP uygulaması nedir? sorusunu sizler için cevapladık. BiP’ten uçtan uca şifreleme konusunda henüz bir açıklama yapılmadı.

BiP’in gizlilik politikasına baktığımızda kimlik ve iletişim bilgileri, kullanım verileri, konum verileri, ödeme verileri, cihaz verileri, iletişim verileri, yedekleme verileri ve rehberin toplandığını görüyoruz. Turkcell bu bilgileri hizmet sağlayacılar, ortaklar ve danışmanlar ile paylaşabileceğini belirtirken, verilerin saklanması konusunda şu ifadeleri kullanıyor;

“Lifecell, elde etmiş olduğu kişisel verileri Avrupa Birliği dışındaki ülkeler dahil olmak üzere kullanıcının bulunduğu yargı alanı dışındaki ülkelere aktarabilir ve bu ülkelerde saklayabilir.”