WhatsApp Mesajları; Uçtan Uca Bilinmezlik

19 gündür kayıp olan ve cansız bedenine ulaşılan Narin Güran’ın kimin tarafından öldürüldüğünün aydınlatılması için çalışmalar devam ediyor. Bu kapsamda birçok kişi gözaltına alındı. Gözaltına alınanlardan biri olan itirafçı Nevzat Bahtiyar, ifadesinde Narin’i dere yatağına götürdüğünü ve amca Salim Güran ile WhatsApp üzerinden mesajlaştığını, ancak mesajların silindiğini söyledi. İlerleyen saatlerde Halk TV muhabiri Ferit Demir, Diyarbakır Cumhuriyet Başsavcılığı’nın Adalet Bakanlığı’ndan WhatsApp’taki görüşme kayıtlarının alınmasını talep ettiğini bildirdi.

Bu gelişmenin ardından Türkiye’de başka bir tartışma başladı: WhatsApp, bu mesajları Türkiye Cumhuriyeti’ne verebilir mi? Yazılımcılar, WhatsApp’ın uçtan uca şifreleme teknolojisi nedeniyle bunun mümkün olmadığını söylerken, bazı kişiler ise “Neden mümkün olmasın?” sorusunu sordu. WhatsApp’ta çalışan yazılım mühendisi Güney Kayım, Meta’nın mesajları depolamadığını belirtti. Tartışmalar devam ederken Meta direktörü Joshua Breckman da uçtan uca şifreleme teknolojisi sebebiyle WhatsApp’ın herhangi bir kullanıcının mesajını görmesinin teknik olarak imkansız olduğunu ve bu nedenle mesajların Türkiye Cumhuriyeti’ne iletilmeyeceğini açıkladı. Breckman ayrıca, WhatsApp’ın ancak mahkeme yoluyla kullanıcının adı, abonelik tarihi, son görülme zamanı, IP adresi, cihaz türü, e-posta adresi, profil fotoğrafları, grup üyelik bilgileri ve kişi listesi gibi bilgileri paylaşabileceğini ifade etti. 

Peki, sağlayıcının bile mesajlara erişemediğini iddia ettiği uçtan uca şifreleme nedir?

Birçok mesajlaşma uygulamasında, mesajlar sunucularda depolanır ve alıcı bu mesajları sunuculardan indirir. Mesajlar şifrelenmiş olsa bile, yalnızca aktarım sırasında şifrelendiği için, şifreleme anahtarına sahip olan hizmet sağlayıcılar bu mesajların içeriğine erişebilir. 

Uçtan uca şifreleme ise mesajların göndericiden alıcıya kadar tamamen şifrelenmesini sağlayan bir güvenlik protokoldür. Bu sistemde, mesajlar gönderen kişinin cihazında şifrelenir ve sadece alıcı tarafındaki cihazda anahtar yardımıyla çözülür. Böylece telekom operatörleri, internet sağlayıcıları veya kötü niyetli kişiler şifreleme anahtarına sahip olmadıkları için mesajlara erişemezler. Bu, daha güvenli bir mesajlaşma ortamı sunar.

Ancak, bu protokolün her zaman işlemediği durumlar da olmuştur. Örneğin, 2013 yılında Microsoft, Skype için geliştirdiği uçtan uca şifreleme protokolüne Amerikan Ulusal Güvenlik Ajansı’nı (NSA) dahil ettiğini açıkladı. Bu, Skype ve Outlook üzerindeki şifrelenmiş konuşmaların çözümlenebilmesi için NSA’nın da bir anahtara sahip olduğu anlamına geliyordu.

Microsoft’un 2013 yılında uçtan uca şifreleme ile ilgili yaptığı açıklamanın ardından, Signal’in kurucularından Moxie Marlinspike, “TextSecure” adını verdikleri farklı bir uçtan uca şifreleme protokolünü tanıttı. Bu protokol ilk kez, aynı ismi taşıyan “TextSecure” uygulamasında kullanıldı. TextSecure, ileri yönlü ve geriye dönük gizlilik sağlarken, yalnızca sohbete dahil olan kullanıcıların mesajları okuyabilmesine olanak tanır, bu da uygulamanın kendisinin bile mesajları okuyamayacağı anlamına gelir. Ancak uygulama, mesaj içeriklerine erişim sağlamasa da metadatalara erişime izin verir; yani, şirketler kullanıcıların kiminle ne zaman iletişim kurduğunu kaydedebilir.

2014 yılında protokol, güvenlik güncellemeleri alarak “TextSecure v2” adını aldı. Aynı yıl, “Google’sız bir Android” sloganıyla ortaya çıkan CyanogenMod (şimdiki adıyla Lineage OS), SMS uygulamasında TextSecure kullanmaya başladığını duyurdu. Ancak, TextSecure’ün şifreleme yapabilmesi için hem gönderenin hem de alıcının bu teknolojiyi kullanması gerektiğinden, CyanogenMod’un o dönemdeki kullanıcı sayısı bu teknolojinin yaygın kullanımını sağlamaya yetmedi.

2015 yılında TextSecure, adını Signal olarak değiştirdi ve 2016’da WhatsApp, Facebook ve Google gibi büyük şirketlerle uçtan uca şifreleme konusunda iş birliği yaptı. Aynı dönemde, Oxford Üniversitesi, Queensland Teknoloji Üniversitesi ve McMaster Üniversitesi’nden araştırmacılar, protokolün güvenli olduğunu doğrulayan bir analiz yayımladı. 2022-2023 yıllarını kapsayan bir başka araştırmada ise Tech Policy Press, Signal’in kullanıcı profillerini, kişiler listesini, grup meta verilerini ve mesaj gönderici bilgilerini gizlemek için adımlar atan tek uygulama olduğunu belirtti.

WhatsApp, 2016 yılında yaptığı bir açıklamayla, uçtan uca şifreleme sistemi kullanmak amacıyla Signal ile anlaşma sağladığını duyurdu. Bu tarihe kadar WhatsApp, mesajları sunucusunda tutup alıcıya iletiyordu ve mesajlar iletildikten sonra sunucudan silindiği belirtiliyordu. Android telefonlarda mesaj yedekleri yalnızca cihazın kendisinde şifreli olarak depolanırken, iPhone’larda kullanıcılar iCloud ya da cihaz depolaması seçeneklerine sahipti. Ancak bazı geliştiriciler, bu yedeklerin şifrelerini kırarak başka cihazlarda açılmasını sağlayan yazılımlar geliştirdiler. 2015 yılında WhatsApp, Android cihazlar için mesaj yedeklerinin Google’a kayıt edilmesi amacıyla bir anlaşma yaptı.

2016 yılında Signal ile uçtan uca şifreleme için anlaşmaya varan WhatsApp, mesajların depolanması konusunda bir değişiklik yapmadı. Günümüzde WhatsApp, mesajları kendi sunucularında tutmuyor. Yalnızca alıcıya ulaşamayan mesajlar 30 gün boyunca sunucuda geçici olarak saklanıyor. Ayrıca sıkça iletilen medyaların da geçici olarak şifrelenmiş bir şekilde sunucularda tutulduğu ifade ediliyor. Silinen bir mesajın geri getirilebilmesi ancak silinmediği tarihe ait bir yedeğinin olması durumunda mümkündür. Öte yandan, WhatsApp’ın kullanıcı sözleşmesine aykırı 3. parti yazılımlar kullanılarak mesajların silinmesi engellenebilir, ancak bu yazılımları kullanmak WhatsApp hesabınızın kalıcı olarak silinmesine neden olabilir.

Signal protokolü, WhatsApp üzerindeki mesajların içeriğinin WhatsApp tarafından bile görülememesini sağlayan bir güvenlik özelliği sunar. Ancak, WhatsApp’taki mesaj yedekleri varsayılan olarak uçtan uca şifrelenmez. Bu yedeklerin bulut sistemine depolandığında şifrelenip şifrelenmeyeceği, kullanıcının tercihine bırakılmıştır.

WhatsApp, Signal’in izin verdiği ölçüde belirli metadatalara erişim sağlayabilir. WhatsApp’ın gizlilik politikasına göre, uygulama rehberinizdeki kişileri, kayıt olduğunuz tarihi, mesajlaşma ve arama tarihlerinizi, durum güncellemelerinizi, gruplara katılım tarihlerinizi (grup adı, grup resmi, grup açıklaması dahil), profil fotoğrafınızı, “hakkımda” kısmındaki bilgilerinizi ve son görülme zamanınızı depolar. Ayrıca, cihazınıza ait donanım modeli, işletim sistemi bilgileri, batarya seviyesi, sinyal gücü, uygulama sürümü, IP adresi ve cihaz tanımlayıcıları gibi bilgileri de saklar. Konum paylaşımına izin verdiğiniz takdirde, cihazınıza ait hassas konum bilgileri de bu kapsamda yer alabilir. Ayrıca, WhatsApp, kullanıcıların uygulama üzerinden diğer kişilerle nasıl etkileşim kurduğuna dair bilgileri de saklayabileceğini belirtiyor.