Dünyanın en güvenli iletişim uygulaması denildiğinde akla ilk gelen isim şüphesiz Signal'dir. Edward Snowden'ın bile "Her gün kullanıyorum" diyerek kefil olduğu, uçtan uca şifreleme (E2EE) konusunda altın standart kabul edilen bu kale... Yakın zamanda ortaya çıkan ve FBI'ın dahil olduğu bir mahkeme dosyası, siber güvenlik dünyasına bomba gibi düşene kadar.
FBI, şüpheli bir şahsın Signal mesajlarını okumayı başarmıştı. Hem de şüpheli uygulamayı telefonundan silmiş olmasına rağmen! Peki ama nasıl?
Hayır, Signal'in şifrelemesi kırılmadı. FBI arka kapıdan (backdoor) girmemişti; aslında kapının altından sızan ışığı takip etmişti. Nasıl mı? 'Daha Güvenli Bir WhatsApp İçin' adlı yazımızda bahsetmiş olduğumuz bir gizlilik önleminden. Bildirimler. Uyuglama WhatsApp değil Signal, işletim sistemi Android değil iOS. Ama güvenlik açığı aynı güvenlik açığı. İşte "bildirimlerin" sizi nasıl ele verebileceğinin çarpıcı anatomisi ve bu devasa açığı kapatmanın yollarından bahsedeceğiz bu yazımızda.
Şifreli bir mesaj telefonunuza ulaştığında, Signal bu mesajın kilidini açar ve size göstermek üzere hazırlar. Eğer telefonunuzun bildirim ayarlarında "Mesaj içeriğini göster" seçeneği açıksa, iOS veya Android bu mesajın bir önizlemesini kilit ekranınıza yansıtır.
İşte asıl tehlike tam burada başlar.
iPhone'unuz (veya Android cihazınız), bir bildirimi ekrandan temizleseniz bile, bu metin içeriklerini normal kullanıcı erişimine kapalı olan sistem veri tabanlarında, cihaz bu verilerin üzerine yeni bir veri yazana kadar günlerce, hatta haftalarca barındırmaya devam edebilir.
FBI, suçlunun telefonunu ele geçirdiğinde Signal uygulamasını hacklemeye çalışmadı; gelişmiş adli bilişim yazılımları (Cellebrite gibi) kullanarak doğrudan işletim sisteminin bildirim günlüğünü indirdi. Uygulama silinmiş olsada, hayalet bildirimler oradaydı.
Bu olayın en ironik teknik detayı şudur: FBI, mahkemeye sadece şüpheliye gelen mesajları sunabildi. Neden mi? Çünkü kendi gönderdiğiniz mesajlar ekranınızda bir "bildirim" oluşturmaz. Dolayısıyla sistemin bildirim hafızasına kaydedilmezler. Eğer telefonunuz ele geçirilirse, bildirim günlüğü üzerinden karşı tarafın ne söylediği anlaşılabilir, ancak sizin ne cevap verdiğiniz karanlıkta kalır. Tabi karşı tarafın cihazı da ele geçirilmiş olursa durum ayrı. Tek başına bir anlam ifade etmeyen ama bir araya gelince anlamlı bir bütünü oluşturan bir puzzle parçaları gibi.
Bu olay bize çok önemli bir ders veriyor: Bir uygulamanın güvenliği, üzerinde çalıştığı işletim sisteminin zafiyetleriyle sınırlıdır. Signal üzerinden ne kadar güvenli yazışırsanız yazışın, mesajlarınızı kilit ekranında bir billboard gibi sergiliyorsanız gizliliğiniz tehlikededir.
Bu "bildirim sızıntısını" engellemek ise saniyeler sürer:
1. Signal İçinden Önleminizi Alın:
· Signal uygulamasını açın ve Ayarlar'a girin.
· Bildirimler (Notifications) sekmesine dokunun.
· Göster (Show) seçeneğini bulun ve bunu "İsim veya İçerik Yok" (No Name or Content) ya da sadece "Sadece İsim" (Name Only) olarak değiştirin. Artık mesaj geldiğinde ekranda sadece "Yeni bir mesajınız var" yazacak.
2. iOS Seviyesinde İşi Garantiye Alın (iPhone Kullanıcıları İçin):
· iPhone’unuzun kendi Ayarlar > Bildirimler menüsüne gidin.
· Signal'i (veya korumak istediğiniz diğer uygulamaları) bulup tıklayın.
· En alttaki Önizlemeleri Göster (Show Previews) seçeneğini "Asla" (Never) olarak işaretleyin.
3. Android Seviyesinde İşi Garantiye Alın (Android Kullanıcıları İçin):
· Telefonunuzun Ayarlar > Bildirimler menüsüne gidin. "Kilit Ekranı Bildirimleri" seçeneğini bulup "Hassas içeriği gizle" veya "Hiçbir bildirimi gösterme" olarak ayarlayın.
· Kritik Uyarı: Android 11 ve üzeri kullanıyorsanız, Ayarlar >Bildirimler > Bildirim Geçmişi (Notification History) yolunu izleyin ve bu özelliğin kapalı olduğundan emin olun. Aksi takdirde ekrandan sildiğiniz bildirimler 24 saat boyunca herkesin görebileceği şekilde burada listelenmeye devam eder.
Unutmayın; dijital dünyada gerçek güvenlik, görünmez olmakla değil, geride hangi ayak izlerini bıraktığınızı bilmekle başlar. Ekranınıza düşen o masum bildirim baloncuklarının, günün birinde aleyhinize dijital bir delile dönüşmesine izin vermeyin.
Bu olay bize gösteriyor ki, dijital dünyada güvenlik için her an tetikte olmak şart. Bir sistemin zafiyet barındırdığını öğrendiğimiz her an, maalesef birilerinin canı çoktan yanmış oluyor. Bu yüzden dijital platformlara asla tam anlamıyla güvenmeden, temkinli hareket etmek her zaman en doğrusudur. Zira bugün sarsılmaz sandığınız bir kalkanın aslında delik deşik olduğunu yarın öğrendiğinizde, sıradaki kurban siz olabilirsiniz.
