Silent Whisper: Sadece telefon numarasıyla WhatsApp ve Signal etkinliği izlenebiliyor

Çevrimiçi ortaya çıkan yeni bir araç, Silent Whisper adlı güvenlik açığını gözler önüne seriyor ve yalnızca bir telefon numarasıyla WhatsApp ve Signal kullanıcılarının etkinliklerini izlemeyi mümkün kılıyor. Bu, hesapları ele geçirmek ya da mesajları okumak değil; yöntem, uygulamaların kendi teknik yanıtlarını incelemeye dayanıyor. Sadece bir numarayla birinin dijital ritmini çözebilmek, tehdidin ne kadar gündelik hale geldiğini de hatırlatıyor.

Saldırı, teslim onaylarının yanıt sürelerinin ölçülmesine dayanıyor. WhatsApp ve Signal otomatik olarak ping isteklerine karşılık veriyor; saldırgan da bu paketlerin gidiş dönüş süresini, yani RTT değerlerini analiz edebiliyor. Bu zamanlamalardan, cihazın etkin olup olmadığı, Wi-Fi mı yoksa mobil veri mi kullandığı, uyku modunda mı yoksa tamamen çevrim dışı mı olduğu çıkarılabiliyor.

Viyana’daki araştırmacılar Silent Whisper ayrıntılarını geçen yıl kapsamlı biçimde anlatmıştı. İlgi, gommzystudio adlı bir kullanıcının GitHub’da bir kavram kanıtı aracı yayımlamasının ardından yeniden arttı. Yazarın aktardığına göre hedef cihazda herhangi bir bildirim tetiklemeden saniyede 20 isteğe kadar göndermek mümkün ve bu hız, bir kişinin aktivitesine dair oldukça isabetli bir tablo oluşturmaya yetiyor.

Analitik grafiklere ait görseller de internette dolaşıma girdi; bu ölçümlerin nasıl yorumlandığını gösteriyorlar. Gecikme değerlerindeki küçük oynamalar, cihazın durumu ile çalışma biçimini ele veriyor ve mesaj içeriğine dokunmadan, fark edilmesi güç bir gözetimi mümkün kılıyor. Grafiklerin dili net: içerik kapalı kalsa da davranış verisi kapıyı aralayabiliyor.

Uzmanlar bu açığın halen geçerliliğini koruduğunu belirtiyor. Basit önlemler olarak, bilinmeyen hesaplardan gelen mesajları kısıtlamak ve mesajlaşma uygulamalarını vakit kaybetmeden güncel tutmak öneriliyor; riski şimdilik tamamen ortadan kaldırmasa da işe yarayan pragmatik adımlar bunlar.