Twitter, güvenlik sorunları olan doğrulanmış kullanıcılar için şifreli DM’leri başlattı

Bunun hakkında konuştuktan sonra aylarTwitter sonunda piyasaya sürülmüş şifreli DM’lerin ilk versiyonu – ancak birkaç sınırlama var. Şu anda bu özellik yalnızca doğrulanmış kullanıcılar (Blue aboneleri gibi) veya doğrulanmış kuruluşlarla ilişkili hesaplar tarafından kullanılabilir. Ek olarak, şifreleme özelliği grup mesajlarıyla uyumlu değildir ve Twitter ortadaki adam saldırılarına karşı koruma sağlamaz.

Twitter, şifreleme platformlar arasında çalışırken, alıcının bunu etkinleştirmek için göndereni takip etmesi gerektiğini söyledi. Alternatif olarak, bir kullanıcı gönderenle daha önce sohbet ettiyse veya DM isteğini kabul ettiyse şifreleme etkinleştirilebilir. Kullanıcılar şifrelenmiş bir sohbet için uygunsa, gönderen, yeni sohbet ekranındaki bir düğme aracılığıyla şifrelemeyi açma seçeneği elde eder.

Görsel Kaynakları: twitter

Mevcut bir görüşme için şifrelemeyi açmak için, görüşme ekranının köşesindeki bilgi simgesine dokunabilir ve “Şifreli bir mesaj başlat” yazan seçeneğe dokunabilirsiniz. Twitter, alıcının profil resmine bir kilit rozeti yerleştirdiğinden, şifreli sohbetler normal sohbetlerden farklı görünecektir. Konuşmanın kendisinde, şirket en üstte bir “Mesajlar şifrelenir” başlığı gösterecek.

Görsel Kaynakları: twitter

Sosyal ağ açıkça ortaya koyuyor onun blog gönderisi Bu uygulamanın çeşitli sınırlamaları olduğunu. Konuşma düzeyinde, Twitter yalnızca metin ve bağlantılar içeren bire bir mesajlar için şifrelemeyi destekler. Twitter, medyanın şu anda şifreli konuşmalarda desteklenmediğini söyledi.

Ek olarak, kişiler mevcut bir şifreli görüşmeye katılmak için yeni bir cihaz kullanamaz. Bu nedenle, ya şifreli bir görüşme başlattığınız cihazı kullanmanız ya da yeni bir cihaz aldığınızda yeni bir görüşme başlatmanız gerekir. Kullanıcılar, şifreleme özelliğini kullanmak için toplamda yalnızca 10 cihaz kullanabilir ve yeni bir cihaza yer açmak için bir cihazın kaydını silmenin bir yolu yoktur.

Özellikle Twitter, uygulamayı yeniden yüklemeyi yeni bir cihaz kaydı olarak görüyor. Twitter bir anahtar yedekleme seçeneği sunmaz; bu, hesaptan çıkış yaparsanız o cihazdaki tüm şifreli mesajlarınızın silineceği anlamına gelir.

Ancak karmaşık kısım, Twitter’ın oturum kapatıldığında cihazdaki özel anahtarları silmemesi, yalnızca mesajları silmesidir. Kullanıcılar, aynı cihazdan tekrar giriş yaparlarsa mevcut görüşmeleri getirebilecekler. Şirket, bu sınırlama nedeniyle kişilerin paylaşılan cihazlarda şifreleme özelliğini kullanmaması gerektiği konusunda uyardı. Bu, Twitter bir anahtar yedekleme seçeneği sunmaya başladığında değişebilir.

Özelliğin güvenlik teklifi hakkında da pek çok şüphe var. Twitter’ın bu özellik için hangi şifreleme standardını kullandığı net değil. Şirket az önce “güçlü kriptografik şemaların bir kombinasyonunu” kullandığını söyledi. blog yazısında şifreleme özelliğinden bahsediyor.

Twitter, şifreleme özelliğinin ileri gizlilik koruması sağlamadığını, bu nedenle bir saldırganın güvenliği ihlal edilmiş bir cihaza erişmesi durumunda kullanıcının tüm geçmiş konuşmalarına erişebileceğini söyledi. Şirket, kullanıcıların şifrelenmemiş DM’lerine herhangi bir cihazdan erişmesine izin vermek için bu özelliği uygulamamaya karar verdiğini söyledi.

Şu anda Twitter, imza kontrolleri veya mesaj doğrulama özellikleri sunmuyor. Böylece cihazların kendileri mesajın gerçekliğini kontrol edemez ve insanlar şifreleme korumasını doğrulamak için sayı dizilerini karşılaştırmak gibi yöntemleri kullanamaz.

Bu, sistemi ortadaki adam saldırılarına karşı savunmasız hale getirir. Bu, güvenlik tehlikeye girerse bir saldırganın mesajlarınızı okuyabileceği anlamına gelir. Twitter ayrıca mevcut tasarım kusurları nedeniyle bu görüşmeyi yasal bir sürecin parçası olarak yetkililere bırakabileceğini ima etti.

Şirket, “Sonuç olarak, örneğin kötü niyetli bir kişi veya zorunlu yasal sürecin bir sonucu olarak Twitter’ın kendisi şifreli bir konuşmayı ele geçirirse, ne gönderen ne de alıcı bunu bilemez” dedi. Twitter, bu saldırıların veya taleplerin artık mümkün olmaması için imza kontrolleri ve güvenlik numaraları eklemek istiyor.

Sonrasında şirketi devralmak, Elon Musk, Twitter DM’leriyle “Signal’in yerini alma” arzusunu dile getirdi. Ancak, mevcut sınırlamalarla, Signal veya diğer uygulamaların sunduğu koruma düzeyini sunmaz. Hem Signal hem de WhatsApp, her türlü konuşma için uçtan uca şifreleme sunar. Ek olarak, Signal kişiler veya mesajlar hakkında herhangi bir meta veri kaydetmez.

“Elon Musk’ın dediği gibi, Direkt Mesajlar söz konusu olduğunda standart şu olmalıdır: Biri kafamıza silah dayasa, yine de mesajlarınıza erişemeyiz. Henüz tam olarak orada değiliz, ancak üzerinde çalışıyoruz” dedi.