WhatsApp’ta Kritik “Grup Tuzağı” Kapatıldı: Google Project Zero Raporu Sonuç Verdi

Google’ın siber güvenlik uzmanlarından oluşan ünlü Project Zero ekibinin tespit etmiş olduğu ve bu bağlamda rapor sunduğu, WhatsApp için kritik bir güvenlik zafiyeti başarıyla giderildi. Söz konusu açığın önemi, sadece WhatsApp’ı değil, eş zamanlı olarak keşfedilen ve hem iOS hem de Android platformlarını hedefleyen diğer sıfır gün saldırılarının varlığından kaynaklanmakta idi. Ancak odak noktası, Android kullanıcılarını doğrudan hedef alan ve kullanıcının aktif bir eylemine gerek duymayan bir mekanizmaydı.

Saldırı Senaryosu: Kurbanın Gruba Eklenmesiyle Tetiklenme

Bu kötü niyetli vektör, sosyal mühendislikten ziyade sistemdeki bir zafiyeti kullanıyordu. Saldırı zinciri şöyle işliyordu:

1. Saldırgan, hedef kurbanı ve kurbanın kişilerinden birini yeni bir WhatsApp grubuna ekliyordu.
2. Ardından, saldırgan, kurbanı grupta yönetici (admin) pozisyonuna yükseltiyordu.
3. Bu aşamadan sonra, yönetici yetkisi kullanılarak gruba zararlı bir medya dosyası (görüntü veya video) gönderiliyordu. Bu dosya, kurbanın izni olmadan veya herhangi bir tıklama yapmasına gerek kalmadan telefonuna otomatik olarak indiriliyordu.
4. Bu otomatik indirme süreci, cihazda saldırının etkinleşmesi için gerekli olan güvenlik sınırını aşmasına neden oluyordu.

Google’ın Müdahalesi ve Meta’nın Tepkisi

Project Zero ekibinin standardına uygun olarak, Meta’ya Eylül 2025’te özel bildirim yapıldı ve 90 günlük çözüm süresi tanındı. Meta, bu sürenin dolmasından önce, Kasım ayında sorunun ilk katmanını hafifletmek amacıyla sunucu tarafında geçici bir değişiklik sergiledi. O dönemde, Google, kullanıcıları korumak adına, WhatsApp ayarlarından medya otomatik indirme özelliğini kapatmayı veya gelişmiş gizlilik modlarını etkinleştirmeyi önerdi. Fakat Project Zero analistlerinin son güncelleme notlarına göre, Meta, bu sorunun kök nedenini ve tüm vektörlerini kapsayacak şekilde tam ve kalıcı bir çözüm uygulandı.

Yama Öncesi ve Sonrası Güvenlik Önlemleri