Anlık mesajlaşma uygulamaları ve dijital güvenlik
22/01/2021Ülkemizde yaygın olarak kullanılan anlık mesajlaşma uygulamalarını dijital güvenlik meselesini temel alarak detaylı bir şekilde inceledik. Bu incelemeyi yaparken konuya dair kamuoyunda dikkat çeken yazılardan ve açıklamalardan faydalandık. Anlık mesajlaşma uygulamalarını hem güvenlik hem de kullanıcı özellikleri açısından değerlendirdiğimiz dosya haberimizi siz değerli okuyucularımızla paylaşıyoruz…
Ülkemizde yaygın bir anlık mesajlaşma uygulaması olan WhatsApp, 4 Ocak 2021 tarihinde yeni kullanım koşulları ve gizlilik ilkesini yayınlamıştı. WhatsApp yayınladığı son ilkelerde kullanıcının kabul etmesi halinde kullanıcı verilerinin Facebook şirketleriyle paylaşılabileceğini söylüyordu. WhatsApp tarafından yapılan ilk açıklamada kullanıcılara, 8 Şubat 2021 tarihine kadar taraflarına iletilen metni onaylamaları için süre tanınmıştı. Açıklamanın devamında ise kullanıcılara bu metni onaylamadıkları takdirde uygulamayı kullanmayacakları belirtilmişti.
Bu durum üzerine başlayan tartışma sürecinde birçok insan Facebook ve WhatsApp’a ciddi bir şekilde tepki gösterdi. Hatta milyonlarca insan da WhatsApp dışında alternatif olarak gördüğü Telegram, Signal ve BİP gibi anlık mesajlaşma uygulamalarını kullanmaya başladı.
Gelen tepkiler üzerine Facebook kısa bir süre önce küçük bir geri adım atarak kararı 8 Şubat 2021 tarihinden 15 Mayıs 2021 tarihine erteledi. Facebook geri adım attı ancak sözleşmeden vazgeçmiş değil. Yine de bu tarih ertelemeye dair sözleşmenin yeniden değerlendirileceği yorumları çokça yapılıyor.
Şimdi konuyu derinlikli bir şekilde ele almadan önce WhatsApp’ın Facebook’la bilgi paylaşımının ise 2016’dan beri devam ettiğini bilmekte yarar var; WhatsApp hizmet yürütülmesi, iyileştirilmesi ve desteklenmesi gibi amaçlarla kullanıcıların bazı bilgilerini zaten topluyordu ancak yeni ilkeler ile bu durumu reddetme hakkımız WhatsApp tarafından elinizden alınıyor.
Hukuki boyut
Meselenin hukuki boyutuna değinecek olursak; öncelikle düzenlemeyi kabul zorunluluğu Avrupa Birliği (AB) üye ülkeleri için geçerli değil. AB’deki ilgili mevzuatta kişisel verilerin işlenmesi, aktarılması, saklanma süresi, kullanılma amacı ve imha politikasına dair koşullar oldukça katı ve net. Uygulamanın aynı dayatmayı AB ülkelerinde yapmamasının nedeni ise keyfi bir tercih değil; AB vatandaşlarının kişisel verilerinin, kısaca GDPR (General Data Protection Regulation) olarak bilinen, kişi hak ve özgürlükleri temel alınarak oluşturulan, 1990’lı yıllardan bu yana güncellenerek geliştirilen yasal düzenlemeyle sıkı biçimde korunuyor olmasıdır.
Ülkemizde 2016’dan bu yana yürürlükte olan Kişisel Verilerin Korunması Kanunu (KVKK), GDPR’nin ilk düzenlemeleri baz alınarak oluşturulduysa da sonrasındaki teknolojik ve hukuksal gelişmeler doğrultusunda gerekli güncellemeler yapılamamıştır. Dolayısıyla KVKK, GDPR’nin AB vatandaşlarına sağladığı koruma düzeyini yurttaşlarımıza sağlamaktan uzaktır. Ancak yine de KVKK üzerinden hukuki düzenlemelere bir bakacak olursak örneğin; kişisel verilerin işlenmesi için açık rıza verilmesi zorunludur. (Anayasa m. 20, KVKK m. 5) Ancak WhatsApp’a verilen onay, hukuken açık rıza değil çünkü uygulamayı kullanmak için başka seçim hakkı tanımıyor.
Öte yandan etnik köken, siyasi düşünce, ceza mahkûmiyeti, cinsel hayat gibi veriler, KVKK kapsamında ‘özel nitelikli kişisel verilerdir ve her biri için ayrı ayrı rıza alınması zorunludur. Bunların hepsi için tek seferde verilen rıza, hukukumuzda açık rıza olarak kabul edilmemektedir. KVKK uyarınca açık rızanın verilebilmesi için sözleşmede kişisel verilerin nasıl işleneceği, yurtdışına aktarım usulleri, saklanma süresi, kullanılma amacı ve imhasına dair net ve tatmin edici bilgiler bulunmalıdır. WhatsApp’ın yeni sözleşmesinde bu bilgiler yer almıyor. Sonuç olarak Facebook ve dolayısıyla WhatsApp; AB’deki kişisel veri mevzuatını dikkate alıp, sözleşmeyi AB üyelerine dayatmaz iken bizdeki benzer hukukî düzenlemeleri önemsemiyor.
Alternatif uygulamalar
Facebook’un, güncellenen gizlilik ilkeleriyle birlikte WhatsApp kullanımlarımıza dair paylaşacakları arasında hesap bilgileri, bağlantılar, kullanım ve kayıt bilgileri, cihaz ve bağlantı bilgileri, konum bilgileri, çerezler, hesapla ilişkili bilgiler vb. şeyler yer alıyor. WhatsApp tarafında durum böyleyken bugünlerde pek çok insan çözümü Telegram ve Signal’de arıyor. Peki, gerçekten bu uygulamalar çözüm olabilir mi ya da kullanıcılar olarak ne yapabiliriz?
Son yaşanan gelişmelerden sonra yaşanan güvenlik tartışmalarında adı geçen iki temel uygulamaya dair öncelikle şunu bilmek gerekiyor; Telegram, yeni kullanıcılarından iletişim bilgileri, kişiler gibi bilgileri isterken; Signal yalnızca iletişim bilgilerine erişim talep ediyor.
WhatsApp uygulamasına karşı en güçlü alternatif anlık mesajlaşma uygulamaları olan Telegram ve Signal’in -WhatsApp ile karşılaştırmalı bir şekilde- temel bilgilerini aşağıda yer alan tabloda görebilirsiniz.
Not: Daha gelişkin bir karşılaştırma için Secure Messaging Apps Comparison web sitesini ziyaret edebilirsiniz.
Verilerin güvenliği
Bu okuduğunuz yazıya da kaynaklık eden ve tüm bu tartışmaları başlatan veri güvenliği meselesini derinlikli bir şekilde ele alacak olursak; bu konuda sendika.org’da Diyar Saraçoğlu’nun 10 Ocak 2021 tarihinde kaleme aldığı yazıya bakmak isabeti olacaktır. Diyar Saraçoğlu yazısında meseleye dair şunları ifade ediliyor:
“Facebook ve benzeri mecralar hedefli reklamcılık üzerinden gelir elde etme stratejisini kullanıyorlar. Hedefli reklamcılık ise şu anlama gelir. Bu mecralar bizim her türlü verimizi (yüklediğimiz içerikler, nerede yaşadığımız, eğitim durumumuz, günlük adım sayımız ya da kullandığımız cihazlara dair bilgiler vb.) ya da verilerimiz üzerinden elde ettikleri üst verileri (meta veriler) daha özelleşmiş reklamlar verebilsinler diye özel şirketlere satar. Böylece özel şirketler mecranın belirlediği para ölçüsünde reklamlar vererek ulaşmaya çalıştığı hedef kitleye kolaylıkla ulaşabilir. Bizler de bu farklı mecralarda geçirdiğimiz zaman içerisinde bizim hedeflendiğimiz pek çok reklama maruz kalırız.“
Dijital güvenlik alanında çalışmalar yapan Ahmet Sabancı da Twitter hesabından yaptığı açıklamada güvenlik açısından Telegram’ın uçtan uca şifreleme konusunda eksiklikler barındırdığını ve bu yüzden tercih edilmemesi gerektiğini belirtiyor ve uygulamalar arasında en güvenlilerden biri olarak Signal gösteriliyor.
Aşağıdaki tabloda hangi uygulamanın nasıl bir güvenlik yapısına sahip olduğuna ilişkin ipuçları bulabilir ve veri güvenliğiyle ilgili olarak uygulamaların sizden hangi bilgilerinizi istediğini görebilirsiniz.
Veri güvenliği meselesini ele almışken Bilgisayar Mühendisleri Odası (BMO) tarafından yayınlanan açıklamaya bakmak yararlı olacaktır. WhatsApp, Telegram, Signal, Bip, Dedi gibi anlık mesajlaşma uygulamalarının veri transferi gizliliği için kullandığı teknolojileri anlatan BMO, konuya dair şunları ifade ediyor:
“WhatsApp, veri transferinde uçtan uca şifreleme (E2E) kullandığından söz ederek, bu durumun değişmeyeceğini ve kullanıcıların güvende kalacaklarını açıklamakta; yeni gizlilik politikası sonrasında yalnızca üst verilerin (örneğin: kiminle ne zaman iletişim kurulduğu bilgisi, kullanılan cihaz bilgisi, konum bilgisi, telefon numarası, IP adresi vb.) ortaklarıyla paylaşılacağını, kullanıcıların uygulama içindeki paylaşımlarının şifrelenmiş olarak aktarılmaya devam edeceğini belirtmektedir. Ancak WhatsApp uygulamasının istemci (client) ve sunucu (server) katmanlarındaki kaynak kodlarının tamamı kapalı olduğu için bu iddia bağımsız otoritelerce kesin olarak kanıtlanamamaktadır. İstemciler arası iletişim tümüyle şifrelenmiş olarak gerçekleşse bile istemci düzeyinde gerçekleşen işlemlerin de şirketin kontrolünde olduğu gözden kaçırılmamalıdır. Diğer yandan, WhatsApp uygulamasının sahibi olan Facebook’un sicili, kişisel verileri kullanma konusunda temiz değil.
“ Telegram uygulamasında ön tanımlı mesajlaşmada veriler istemciden sunucuya şifrelenmiş olarak iletilmekte ve şifrelenmiş veri sunucuda çözülüp alıcının istemcisine yeniden şifrelenerek gönderilmektedir. Telegram, sunucularında bulunan kullanıcı verilerine erişilmek istendiği takdirde veriye erişim için birçok farklı hukuk sisteminden izin alınması gerektiğini öne sürmektedir. Uygulamada gizli mesajlaşma seçeneği kullanıldığında ise uçtan uca (E2E) şifreleme yapılmakta, yani göndericinin iletisi şifrelenmiş olarak alıcıya iletilmekte ve alıcının uygulamasında çözülmektedir. Telegram’ın özgür yazılım olan mobil, web, masaüstü uygulamalarına karşın tüm iletişimin akışını sağlayan sunucu yazılımları özgür yazılım değildir, yani kaynak kodları kamusal erişime açık değildir. Ayrıca bu uygulamanın da bir şirketin sahipliğinde olması ileride gizlilik politikasını değiştirme riskini taşımaktadır.
“Signal uygulaması, gerek istemci ve sunucu yazılımları düzeyinde bütün olarak özgür yazılım olmasıyla gerekse yazılı, sesli ve görüntülü veri aktarımında uçtan uca (E2E) şifreleme kullanmasıyla kişisel verilerin korunması yönünden daha güvenli bir seçenek olarak görünmektedir. Signal’in, kimin kiminle mesajlaştığı üstverisi (metadata) gibi verileri yalnızca kullanıcı uygulamasında tutması, gizlilik özellikleri için önemli bir avantajdır. Kâr amacı gütmeyen bir vakfın kontrolünde olması nedeniyle de şirketlerin kâr odaklı değişen politikalarının oluşturduğu risklerle karşı karşıya değildir. Özgür yazılım olması, kamusal erişime açık olan kaynak kodlarının gelecekte de erişilebilir olacağının ve yeni sürümlerinin de aynı özellikleri taşıyacağının güvencesidir. Dolayısıyla saydamlığı ve sürekliliği güvence altındadır.”
Uygulamaların kullanıcı özellikleri
Son olarak da WhatsApp’a karşı en güçlü alternatif görülen Telegram ve Signal’in WhatsApp ile kullanıcı özellikleri açısında bir karşılaştırmasını yapmak iyi olacaktır. Kullanıcı özelliklerini açısından her üç uygulamanın sağladığı başlıca imkanlar aşağıda yer alan tabloda görülebilir.
Kullanıcı özellikleri açısından Telegram ve Signal’in WhatApp’a göre daha iyi olduğu rahatlıkla söylenebilir. Ancak Telegram ve Signal’in iyi olma durumu özelliklere göre farklılaşıyor. Telegram grup kişi sayısı ve dosya gönderme boyutu açısından oldukça avantajlı. Bu durumla bağlantılı olarak da WhatsApp ve Signal’den farklı olarak Telegram gönderilen dosyaların boyutuna bir sıkıştırma uygulamıyor. Ancak Telegram’da WhatsApp ve Signal’in sağladığı grup arasında görüntülü konuşma imkanını da sağlamıyor. Öte yandan Signal’in de WhatsApp ve Telegram’a karşı en büyük avantajı kullanıcı özellikleri açısından dataların güvenliği. Hiçbir veri kullanıcı bilgisi olmadan yedeklenemiyor çünkü veriler gönderilirken şifreleniyor. Ayrıca Signal’de okunduktan sonra hiçbir yere yedeklenmeyen kendiliğinden kaybolan mesaj özelliği de var. Telegram’ın 200 bin kişilik grup kurma imkanı da özellikle haber portalları açısından oldukça avantajlı…
Sonuç
Yukarıda yazanları somutlayacak olursak; anlık yazışma ihtiyacı için WhatsApp, Telegram ve Signal arasında kalıyorsak kişisel yazışmalar ve dar gruplar için güvenlik açısından Signal kullanıma daha uygunken; bin kişiyi geçen diğer geniş haberleşme grupları ve yüksek çözünürlüklü dosya ve video aktarımı için Telegram bir zorunluluk olarak kullanılabilir.
Bütün bunları söylerken akıllı telefon ve bilgisayar kullanımının başlı başına bir güvenlik sorunu olduğunu, kişisel bilgilerimizin sadece anlık iletişim uygulamaları yoluyla değil telefonumuza veya bilgisayarımıza indirdiğimiz birçok uygulama yoluyla elde edilebileceğini de hatırlatmak isteriz. WhatsApp uygulaması üzerinden gündeme böyle bir dijital güvenlik tartışmasının gelmiş olması oldukça sevindiricidir. Özetle; söz konusu durum aslında tüm aygıt ve uygulamalar için sürdürülmelidir ve kişiseş verilerimizi satan, güvenliğimizi hiçe sayan ve kullanıcıları yalnızca kar aracı olarak gören uygulamalardan kurtulmak için bir şans oluşturmuştur.
Eğer bu yazıyı okuduysanız, ilk olarak halihazırda kullandığınız uygulamalar için verdiğiniz izinleri gözden geçiriniz. Bu kontrolü düzenli aralıklarla yapmanız oldukça faydalı olacaktır. İleriye dönük olarak kişisel sır ya da ticari sır olarak değerlendirdiğiniz bilgileri, anlık mesajlaşma ve sosyal medya ortamlarında paylaşmaktan kaçının. Bu tür bilgileri paylaşmanızın gerekli olduğu durumlarda ise gereklilik ortadan kalktığında paylaşımınızı silin. Ve her zaman özgür yazılımları tercih edin. Gereksinim duyacağınız birçok uygulamanın özgür yazılım olan bir alternatifini bulabilirsiniz. Özgür yazılımlar herkesin katılabildiği saydam bir geliştirme süreciyle, kaynak kodları tüm insanların erişimine açık olarak geliştirilirler; sahipleri ise kişi ya da şirketler değil tüm insanlıktır.
https://teyit.org/analiz-whatsappin-degistirdigi-gizlilik-sozlesmesi-hakkinda-iddialar
(A.K.-T.S.)
