Güvenlik araştırmacısı ve tersine mühendislik blog yazarı Jane Manchun Wong, Twitter’ın Twitter’a uçtan uca şifreleme getirebileceğine dair kanıt ve ayrıca oldukça yararlı olan iki olası değişiklik daha keşfetti.
Hala geliştirilmekte olan yeni özelliklerin ayrıntılarını sızdıran bir dizi tweet aracılığıyla bilgileri kamuoyuna açıkladı.
Önemsiz Ama Yararlı Değişiklik
Gelecek olan ilk değişiklik, kaynak alanın kaldırılmasıdır.
Kaynak alanı, her tweet’in altında, tweet’i göndermek için ne tür bir cihazın kullanıldığını söyleyen bölümdür.
Bu özelliğin bir amacı olmalı ama hemen belli olmuyor.
Nihayetinde bu önemsiz bir değişikliktir, ancak dağınıklığı azaltması açısından muhtemelen yararlıdır.
Aynen. Kaynak alan, bu prototipteki Tweet ayrıntıları görünümünden çıkarılmıştır. https://t.co/ZTFOnfdXvP pic.twitter.com/KaCOFmKzLE
– Jane Manchun Wong (@wongmjane) 16 Kasım 2022
Uçtan Uca Şifreleme
Uçtan Uca Şifreleme (E2EE), mesajlaşmaya katılanlar dışında herhangi bir tarafın sıfır erişimi ile tamamen özel, güvenli bir iletişim protokolüdür.
Genel olarak bu iyi bir fikir. Ancak, WhatsApp ve Telegram’ın olduğu gibi bir telefona bağlı olmayabilecek E2EE’yi mesajlaşmaya eklemekle ilgili meşru endişelerini dile getirenler de var.
Jane Manchun Wong Kanıt Buluyor
Jane Manchun Wong, aşağıdaki gibi sitelerde röportaj yapılan ve profili çıkarılan dikkate değer bir tersine mühendislik uzmanıdır. BBC haberleri
BBC profiline göre:
“Airbnb’nin, misafirlerinin uçakları güvenli bir şekilde iniş yaptığında ev sahiplerini web sitesinde uyaran yeni bir uçuş entegrasyon özelliğini test ettiğini keşfetti.
Ve Instagram, artırılmış gerçeklik profil resimlerini denemeye başladığında kornayı çaldı.”
“27 yaşındaki Wong, teknoloji ve gazeteciliğin en büyük isimlerinden bazılarını içeren oldukça büyük bir Twitter takipçisiyle birlikte zor kodları kırma konusunda doğaüstü bir yeteneğe sahip.
Yazılım mühendislerinin neyle uğraştığını görmek için web sitelerinin kodlarının arka ucuna girerken, keşiflerini ilgiyle bekliyorlar. “
Kısa bir süre önce Twitter Android uygulamasını keşfederken, E2EE özelliğinin Twitter’ın Doğrudan Mesajlaşma (DM) hizmetine gelebileceğini keşfetti.
Kanıtın bir ekran görüntüsünü tweetledi ve yayınladı:
“Twitter uçtan uca şifrelenmiş DM’leri geri getiriyor
Android için Twitter’da üzerinde çalışılan özelliğin işaretlerini görmek:”
Twitter, uçtan uca şifrelenmiş DM’leri geri getiriyor
Android için Twitter’da üzerinde çalışılan özelliğin işaretlerini görmek: https://t.co/YtOPHH3ntD pic.twitter.com/5VODYt3ChK
– Jane Manchun Wong (@wongmjane) 16 Kasım 2022
Jane ayrıca başka bir kanıt daha yayınladı:
Twitter’ın yaklaşmakta olan uçtan uca şifrelenmiş DM’leri “Şifreleme anahtarları” ekranının ilk prototipi: https://t.co/rcnd7h68lO pic.twitter.com/EMXSlI188j
– Jane Manchun Wong (@wongmjane) 16 Kasım 2022
Jane Uçtan Uca Şifreleme İstedi
9 Kasım 2022’de Elon Musk’tan Twitter için öneri isteyen bir tweet’e yanıt verdi.
O tweeti attı:
“Uçtan uca şifrelenmiş DM’leri canlandırın!”
Uçtan uca şifrelenmiş DM’leri canlandırın! https://t.co/pBEQro3E4e
– Jane Manchun Wong (@wongmjane) 9 Kasım 2022
Twitter DM Uçtan Uca Şifreleme İyi Bir Fikir mi?
Eski Twitter Baş Bilgi Güvenliği Sorumlusu Lea Kissner, olası tuzaklarla ilgili gözlemlerini paylaştı.
O tweet:
“Bağlam için: Kriptografi alanında bir doktoram var, tezim gizliliği koruyan kriptografik protokoller üzerine ve alenen birkaç yeni E2EE sistemi (Zoom ve Google’dan) üzerinde çalıştığım biliniyor.
Yani: 1) YMMV çünkü her sistem biraz farklıdır 2) bu benim ilk rodeom değil”
Endişeleri arasında taciz olasılığı da vardı.
“Sadece WhatsApp veya Signal’e bakmanın, telefon numarasına dayalı olmayan bir ağda kötüye kullanımın nasıl olacağı konusunda size neredeyse yeterli fikir vermediğini unutmayın. *Çok* daha kolay bir zamanları var ve sorun hâlâ çözülmedi.”
Ayrıca, birden fazla cihaza dağıtırken ortaya çıkan karmaşıklığa da dikkat çekti:
5. Birden fazla cihaz. Kullanıcıların birden fazla aygıtı olduğunda, *özellikle* sunucunun ister istemez aygıt eklemesini istemiyorsanız (çünkü bu, güvenliği tehlikeye atar) tüm bunlar daha can sıkıcı hale geliyor (yine de izlenebilir).
Ama sonunda uçtan uca Şifrelemenin Twitter için mümkün olduğunu onayladı.
Eminim bir şeyi unutuyorum ve bunların hepsi yapılabilir, ancak not:
1) tüm kriptografik sistemler gibi E2EE inceliklidir ve çabuk sinirlenir ve dikkatle yapılmalıdır
2) bu listenin hiçbir yerinde şifreleme/şifre çözme işini yapan gerçek kısmı dahil etmediğimi unutmayın.— Lea Kissner (@LeaKissner) 16 Kasım 2022
Güney Kore’de Yasadışı İçeriği Engelleyin
Jane’in keşfettiği üçüncü özellik aslında iyi bir özellik çünkü siber tacizi ve siber avcılar ve sürüngenler tarafından yüklenen yasa dışı videoların yayınlanmasını engellemeye çalışıyor.
Twitter, Güney Kore’deki kullanıcılar için bir medya uyarısı üzerinde çalışıyor.
“Herhangi bir Yasa Dışı Filme Alınmış İçerik yüklerseniz, Twitter içeriğe erişimi silebilir veya engelleyebilir ve yükleyiciye yaptırım uygulanabilir.”
Görünüşe göre bu, yasadışı olarak filme alınan insan videoları ve siber taciz sorununu hedefliyor.
Twitter, Güney Kore’deki kullanıcılar için bir medya uyarısı üzerinde çalışıyor
“Herhangi bir Yasa Dışı Filme Alınmış İçerik yüklerseniz, Twitter içeriğe erişimi silebilir veya engelleyebilir ve yükleyiciye yaptırım uygulanabilir.” pic.twitter.com/GUW1XGIaPY
– Jane Manchun Wong (@wongmjane) 16 Kasım 2022
Bu aslında, bir kişinin bilgisi veya onayı olmadan çekilmiş casus kamera videoları ve benzeri ortamlarla mücadelede yardımcı olacağını umduğumuz çok kullanışlı bir özelliktir.