Anlık mesajlaşma uygulamaları incelemesi

Ülkemizde yaygın olarak kullanılan anlık mesajlaşma uygulamalarını detaylı olarak inceledik. Bu incelemeyi yaparken kamuoyuna yansımış birçok incelemeden faydalandık, güvenlik incelemesi açısından özellikle muhalif medyada çıkan haberleri dikkate aldık ve orada yer verilen iddiaları değerlendirdik. Ayrıca söz konusu uygulamaları da bir hafta süreyle bizzat kullanarak kendi deneyimlerimizi de çalışmamıza ekledik.

***

Ülkemizde yaygın bir anlık ileti uygulaması olan WhatsApp, 4 Ocak 2021 tarihinde yeni kullanım koşulları ve gizlilik ilkesini yayınladı. WhatsApp yayınladığı son ilkelerde kullanıcının kabul etmesi halinde Facebook şirketleriyle kullanıcı verilerinin paylaşılabileceğini belirtiyor. Kullanıcılar 8 Şubat 2021 tarihine kadar taraflarına iletilen bu metni onaylamazsa WhatsApp’ı kullanamayacak.

WhatsApp’ın Facebook’la bilgi paylaşımının ise 2016’dan beri devam ettiğini bilmekte yarar var; WhatsApp hizmet yürütülmesi, iyileştirilmesi ve desteklenmesi gibi amaçlarla kullanıcıların bazı bilgilerini zaten topluyordu ancak yeni ilkeler ile bu durumu reddetme hakkımız WhatsApp tarafından elinizden alınıyor.

Hukuki boyut

Meselenin hukuki boyutuna değinecek olursak; öncelikle düzenlemeyi kabul zorunluluğu Avrupa Birliği (AB) üye ülkeleri için geçerli değil. AB’deki ilgili mevzuatta kişisel verilerin işlenmesi, aktarılması, saklanma süresi, kullanılma amacı ve imha politikasına dair koşullar oldukça katı ve net. Uygulamanın aynı dayatmayı AB ülkelerinde yapmamasının nedeni ise keyfi bir tercih değil; AB vatandaşlarının kişisel verilerinin, kısaca GDPR (General Data Protection Regulation) olarak bilinen, kişi hak ve özgürlükleri temel alınarak oluşturulan, 1990’lı yıllardan bu yana güncellenerek geliştirilen yasal düzenlemeyle sıkı biçimde korunuyor olmasıdır.

Ülkemizde 2016’dan bu yana yürürlükte olan Kişisel Verilerin Korunması Kanunu (KVKK), GDPR’nin ilk düzenlemeleri baz alınarak oluşturulduysa da sonrasındaki teknolojik ve hukuksal gelişmeler doğrultusunda gerekli güncellemeler yapılamamıştır. Dolayısıyla KVKK, GDPR’nin AB vatandaşlarına sağladığı koruma düzeyini yurttaşlarımıza sağlamaktan uzaktır. Ancak yine de KVKK üzerinden hukuki düzenlemelere bir bakacak olursak örneğin; kişisel verilerin işlenmesi için açık rıza verilmesi zorunludur. (Anayasa m. 20, KVKK m. 5) Ancak WhatsApp’a verilen onay, hukuken açık rıza değil çünkü uygulamayı kullanmak için başka seçim hakkı tanımıyor.

Öte yandan etnik köken, siyasi düşünce, ceza mahkûmiyeti, cinsel hayat gibi veriler, KVKK kapsamında ‘özel nitelikli kişisel verilerdir ve her biri için ayrı ayrı rıza alınması zorunludur. Bunların hepsi için tek seferde verilen rıza, hukukumuzda açık rıza olarak kabul edilmemektedir. KVKK uyarınca açık rızanın verilebilmesi için sözleşmede kişisel verilerin nasıl işleneceği, yurtdışına aktarım usulleri, saklanma süresi, kullanılma amacı ve imhasına dair net ve tatmin edici bilgiler bulunmalıdır. WhatsApp’ın yeni sözleşmesinde bu bilgiler yer almıyor. Sonuç olarak Facebook ve dolayısıyla WhatsApp; AB’deki kişisel veri mevzuatını dikkate alıp, sözleşmeyi AB üyelerine dayatmaz iken bizdeki benzer hukukî düzenlemeleri önemsemiyor.

Alternatif uygulamalar

Facebook’un, güncellenen gizlilik ilkeleriyle birlikte WhatsApp kullanımlarımıza dair paylaşacakları arasında hesap bilgileri, bağlantılar, kullanım ve kayıt bilgileri, cihaz ve bağlantı bilgileri, konum bilgileri, çerezler, hesapla ilişkili bilgiler vb. şeyler yer alıyor. WhatsApp tarafında durum böyleyken bugünlerde pek çok insan çözümü Telegram ve Signal’de arıyor. Peki, gerçekten bu uygulamalar çözüm olabilir mi ya da kullanıcılar olarak ne yapabiliriz?

Son yaşanan gelişmelerden sonra yaşanan güvenlik tartışmalarında adı geçen iki temel uygulamaya dair öncelikle şunu bilmek gerekiyor; Telegram, yeni kullanıcılarından iletişim bilgileri, kişiler gibi bilgileri isterken; Signal yalnızca iletişim bilgilerine erişim talep ediyor.

Aşağıda yer alan, teyit.org tarafından hazırlanan tablodaki bilgiler uygulamaları kullanmanız için gerekli izinleri değil, uygulamaların sizden istediği verileri içeriyor.

Avantajlar ve dezavatajlar

Dijital güvenlik alanında çalışmalar yapan Ahmet Sabancı da Twitter hesabından yaptığı açıklamada güvenlik açısından Telegram’ın uçtan uca şifreleme konusunda eksiklikler barındırdığını ve bu yüzden tercih edilmemesi gerektiğini belirtiyor. Bip kullanım şartları sayfasında verilerin üçüncü taraflarla paylaşılmadığı bilgisi yer almış. Fakat bu sayfada detaylı bilginin bulunabileceği söylenen bir link de var. Bu linke tıklandığında verilerin üçüncü taraflarla paylaşıldığı bilgisi görülebiliyor. Hangi verilerin paylaşıldığı ise gizlilik ilkesi sayfasında okunabiliyor.

Uygulamalar arasında en güvenlilerden biri olarak Signal gösteriliyor. Yine teyit.org tarafından hazırlanmış olan aşağıdaki tablodan da hangi uygulamanın nasıl bir güvenlik yapısına sahip olduğuna ilişkin ipucuna erişilebiliyor. Bip’in uçtan uca şifreleme yöntemiyle ilgili ayrıntı ise net olarak bilinmiyor. Yazılım kodları kapalı ancak firma uçtan uca şifreleme olduğunu belirtiyor.

Verilerin güvenliği

Sendika.org’da konuya dair 10 Ocak 2021 tarihinde Diyar Saraçoğlu’nun kaleme aldığı yazıda ise şunlar ifade ediliyor:

“Facebook ve benzeri mecralar hedefli reklamcılık üzerinden gelir elde etme stratejisini kullanıyorlar. Hedefli reklamcılık ise şu anlama gelir. Bu mecralar bizim her türlü verimizi (yüklediğimiz içerikler, nerede yaşadığımız, eğitim durumumuz, günlük adım sayımız ya da kullandığımız cihazlara dair bilgiler vb.) ya da verilerimiz üzerinden elde ettikleri üst verileri (meta veriler) daha özelleşmiş reklamlar verebilsinler diye özel şirketlere satar. Böylece özel şirketler mecranın belirlediği para ölçüsünde reklamlar vererek ulaşmaya çalıştığı hedef kitleye kolaylıkla ulaşabilir. Bizler de bu farklı mecralarda geçirdiğimiz zaman içerisinde bizim hedeflendiğimiz pek çok reklama maruz kalırız.

Facebook şirketi bugüne değin WhatsApp kullanımlarımızdan elde ettiği veriler ile üst verileri Facebook’la paylaşmadığını söylüyordu. 8 Şubat’ta hayata geçireceğini duyurduğu bu son güncellemeyle birlikte bizim kullanımlarımızdan elde edilen veriler ve üst veriler de artık Facebook’la ve haliyle onunla ilişkili 3. parti şirketlerle paylaşılacak.”

Bu noktada Diyar Saraçoğlu’nun WhatsApp, Telegram ve Signal ile ilgili zihin açıcı yazısındaki tabloya bakmak akıllardaki soru işaretlerine yanıt olacaktır.

WhatsApp Telegram Signal
Uçtan uca şifreleme Var Normal sohbet ile grup sohbetlerinde yok, sadece gizli sohbetlerde var Var
Şirket şeffaflık raporu yayımlıyor mu? Evet Hayır Evet
Metadata şifreleniyor mu? Hayır Hayır Evet
Kaybolan mesajlar Yok Gizli sohbetlerde var Var

Not: Daha gelişkin bir karşılaştırma için Secure Messaging Apps Comparison web sitesini ziyaret edebilirsiniz.

Veri güvenliği meselesini ele almışken Bilgisayar Mühendisleri Odası (BMO) tarafından yayınlanan açıklamaya bakmak yararlı olacaktır. WhatsApp, Telegram, Signal, Bip, Dedi gibi anlık ileti uygulamalarının veri transferi gizliliği için kullandığı teknolojileri anlatan BMO, konuya dair şunları ifade ediyor:

“WhatsApp, veri transferinde uçtan uca şifreleme (E2E) kullandığından söz ederek, bu durumun değişmeyeceğini ve kullanıcıların güvende kalacaklarını açıklamakta; yeni gizlilik politikası sonrasında yalnızca üst verilerin (örneğin: kiminle ne zaman iletişim kurulduğu bilgisi, kullanılan cihaz bilgisi, konum bilgisi, telefon numarası, IP adresi vb.) ortaklarıyla paylaşılacağını, kullanıcıların uygulama içindeki paylaşımlarının şifrelenmiş olarak aktarılmaya devam edeceğini belirtmektedir. Ancak WhatsApp uygulamasının istemci (client) ve sunucu (server) katmanlarındaki kaynak kodlarının tamamı kapalı olduğu için bu iddia bağımsız otoritelerce kesin olarak kanıtlanamamaktadır. İstemciler arası iletişim tümüyle şifrelenmiş olarak gerçekleşse bile istemci düzeyinde gerçekleşen işlemlerin de şirketin kontrolünde olduğu gözden kaçırılmamalıdır. Diğer yandan, WhatsApp uygulamasının sahibi olan Facebook’un sicili, kişisel verileri kullanma konusunda temiz değil.

“ Telegram uygulamasında ön tanımlı mesajlaşmada veriler istemciden sunucuya şifrelenmiş olarak iletilmekte ve şifrelenmiş veri sunucuda çözülüp alıcının istemcisine yeniden şifrelenerek gönderilmektedir. Telegram, sunucularında bulunan kullanıcı verilerine erişilmek istendiği takdirde veriye erişim için birçok farklı hukuk sisteminden izin alınması gerektiğini öne sürmektedir. Uygulamada gizli mesajlaşma seçeneği kullanıldığında ise uçtan uca (E2E) şifreleme yapılmakta, yani göndericinin iletisi şifrelenmiş olarak alıcıya iletilmekte ve alıcının uygulamasında çözülmektedir. Telegram’ın özgür yazılım olan mobil, web, masaüstü uygulamalarına karşın tüm iletişimin akışını sağlayan sunucu yazılımları özgür yazılım değildir, yani kaynak kodları kamusal erişime açık değildir. Ayrıca bu uygulamanın da bir şirketin sahipliğinde olması ileride gizlilik politikasını değiştirme riskini taşımaktadır.

Signal uygulaması, gerek istemci ve sunucu yazılımları düzeyinde bütün olarak özgür yazılım olmasıyla gerekse yazılı, sesli ve görüntülü veri aktarımında uçtan uca (E2E) şifreleme kullanmasıyla kişisel verilerin korunması yönünden daha güvenli bir seçenek olarak görünmektedir. Signal’in, kimin kiminle mesajlaştığı üstverisi (metadata) gibi verileri yalnızca kullanıcı uygulamasında tutması, gizlilik özellikleri için önemli bir avantajdır. Kâr amacı gütmeyen bir vakfın kontrolünde olması nedeniyle de şirketlerin kâr odaklı değişen politikalarının oluşturduğu risklerle karşı karşıya değildir. Özgür yazılım olması, kamusal erişime açık olan kaynak kodlarının gelecekte de erişilebilir olacağının ve yeni sürümlerinin de aynı özellikleri taşıyacağının güvencesidir. Dolayısıyla saydamlığı ve sürekliliği güvence altındadır.”

Kullanıcı özellikleri

Son olarak da WhatsApp’a karşı en güçlü alternatif görülen Telegram ve Signal’in WhatsApp ile kullanıcı özellikleri açısında bir karşılaştırmasını yapmak iyi olacaktır. Kullanıcı özelliklerini açısından her üç uygulamanın sağladığı başlıca imkanlar aşağıda yer alan tabloda görülebilir:

Masaüstü

Kullanım

Görüntülü

Konuşma

Sim

Kartsız

Kullanım

Açık

Kaynaklılık

Dosya

Gönderme

Boyutu

Grup

Kişi

Sayısı

WHATSAPP VAR VAR YOK DEĞİL Dosya-16MB

VİDEO-100MB

250
TELEGRAM VAR Gruplar için yok VAR %100

DEĞİL

1.5GB 200 bin
SİGNAL VAR VAR VAR %100 100 MB 1000

Kullanıcı özellikleri açısından Telegram ve Signal’in WhatApp’a göre daha iyi olduğu rahatlıkla söylenebilir. Ancak Telegram ve Signal’in iyi olma durumu özelliklere göre farklılaşıyor. Telegram grup kişi sayısı ve dosya gönderme boyutu açısından oldukça avantajlı. Bu durumla bağlantılı olarak da WhatsApp ve Signal’den farklı olarak Telegram gönderilen dosyaların boyutuna bir sıkıştırma uygulamıyor. Ancak Telegram’da WhatsApp ve Signal’in sağladığı grup arasında görüntülü konuşma imkanını da sağlamıyor. Öte yandan Signal’in de WhatsApp ve Telegram’a karşı en büyük avantajı kullanıcı özellikleri açısından dataların güvenliği. Hiçbir veri kullanıcı bilgisi olmadan yedeklenemiyor çünkü veriler gönderilirken şifreleniyor. Ayrıca Signal’de okunduktan sonra hiçbir yere yedeklenmeyen kendiliğinden kaybolan mesaj özelliği de var. Telegram tarafından kullanılan “Kanal” özelliğinin de siyasetçiler, siyasi partiler, haber portalları açısından duyuru iletme açısından avantajlı olduğunu söylemeliyiz.

WhatsApp, Telegram ve Signal’i karşılaştırdığımızda özellikle siyasetçiler ve gazeteciler için önemli olan iki özellik var;

  • Bunlardan birisi yüksek çözünürlüklü fotoğraf aktarımı ki WhatsApp yüksek çözünürlüklü fotoğrafların çözünürlüğünü düşürüyor ve bu nedenle basın yayın organlarında bu fotoğrafları kullanamıyor. Telegram fotoğrafların çözünürlüğünü düşürmeden olduğu gibi aktarıyor. Signal’de ise fotoğrafların boyutu büyük oranda korunarak küçük oranda bir bozulma ile aktarıyor. Bu sorunun teme kaynağı ise Signal’in bulut yedeklemesi yapmaması; tabi bulut yedeklemenin yarattığı güvenlik sorunu ise başka bir tartışma konusu.
  • Diğer önemli bir özellik ise video aktarımı. Siyasetçilerin ve gazetecilerin kullandığı önemli bir özellik ise ham veya işlenmiş videoların aktarımı. WhatsApp uzun videolar aktarımı yapmıyor ve gönderdiğiniz uzun videoları keserek gönderiyor. Telegram’da uzun video (max.1,5GB) aktarımı kolaylıkla yapılıyor. Signal’de ise uzun video (max. 100MB) aktarımı yapılamıyor direkt gönderilemeyeceğine dair uyarı veriyor.

Sonuç:

Sonuç olarak anlık yazışma ihtiyacı için WhatsApp, Telegram ve Signal arasında kalıyorsak kişisel yazışmalar ve dar gruplar için güvenlik açısından Signal kullanıma daha uygunken; bin kişiyi geçen diğer geniş haberleşme grupları ve yüksek çözünürlüklü dosya ve video aktarımı için Telegram bir zorunluluk olarak kullanılabilir.

Bütün bunları söylerken akıllı telefon ve bilgisayar kullanımının başlı başına bir güvenlik sorunu olduğunu, kişisel bilgilerimizin sadece anlık iletişim uygulamaları yoluyla değil telefonumuza veya bilgisayarımıza indirdiğimiz birçok uygulama yoluyla elde edilebileceğini de hatırlatmak isteriz.

***

Kaynaklar: https://sendika.org/2021/01/whatsapptan-kacis-mumkun-mu-ya-da-veri-ozgurlugumuzu-savunmak-elon-muska-mi-dustu-605743/

https://www.gazeteduvar.com.tr/bilgisayar-muhendisleri-odasi-anlik-mesajlasma-uygulamalarini-inceledi-haber-1510078

https://teyit.org/analiz-whatsappin-degistirdigi-gizlilik-sozlesmesi-hakkinda-iddialar

https://twitter.com/ahmetasabanci/status/1348213203071856640