Siber Güvenlik Araştırmacısı Ebubekir Bastama WhatsApp Web’in Numara Doğrulama Mekanizmasını 100 Bin Numara Üzerinden Analiz Etti
Siber Güvenlik Araştırmacısı Ebubekir Bastama tarafından yayımlanan teknik makalede, WhatsApp Web istemcisinin numara doğrulama davranışı 100 bin telefon numarası üzerinden incelendi. Çalışma, resmi istemci API’leri kullanılarak yapılan testlerde %100 doğrulukla doğrulama sonuçları elde edildiğini ortaya koydu.
Siber Güvenlik Araştırmacısı Ebubekir Bastama, WhatsApp Web istemcisinin telefon numarası doğrulama davranışına ilişkin kapsamlı bir teknik inceleme yayımladı. Çalışmada, WhatsApp Web’in resmi istemci davranışları temel alınarak gerçekleştirilen testlerde, numaraların WhatsApp kullanıcısı olup olmadığının sunucu taraflı doğrulama mekanizmalarıyla belirlendiği kaydedildi.
100 Bin Numara Üzerinden Teknik Test
Ebubekir Bastama tarafından yürütülen çalışmada, 100.000 adet benzersiz telefon numarası WhatsApp Web istemcisi üzerinden ayrı ayrı test edildi. Test süreci boyunca herhangi bir hız kısıtı, engelleme veya rate-limit davranışıyla karşılaşılmadığı belirtildi.
Resmi İstemci Katmanları İncelendi
Araştırmada, WhatsApp Web arayüzünün normal işleyişinde kullandığı ContactStore ve ChatStore bileşenleri analiz edildi. Bastama, bu yapıların profil bilgileri, sohbet başlıkları ve kullanıcı durumlarının istemciye yansıtılmasında kullanılan resmi istemci API’lerinin çıktıları olduğunu ifade etti.
Sunucu Taraflı Doğrulama Davranışı
Yayımlanan bulgulara göre, WhatsApp Web istemcisi, girilen her numara için WhatsApp sunucularıyla arka planda iletişim kurarak doğrulama gerçekleştiriyor. Bu sürecin, arayüzün olağan kullanım kalıpları içinde gerçekleştiği ve anormal bir istek paterni oluşturmadığı vurgulandı.
Değerlendirme Kriterleri Açıklandı
Her numara için doğrulama, Contact durumu veya Chat durumu kriterlerine göre yapıldı. Bu göstergelerin, sunucu tarafında gerçekleşen doğrulamanın istemciye yansıyan sonucu olduğu belirtildi.
%100 Doğrulukla Teyit Edildi
Ebubekir Bastama, WhatsApp kullanıcısı olan ve olmayan numaraların tamamının doğru şekilde ayrıştırıldığını, test sonuçlarının sonrasında manuel kontrollerle doğrulandığını ve %100 doğruluk oranına ulaşıldığını kaydetti.
Herkese Açık Profil Bilgileri Gözlemi
Çalışmada ayrıca, kullanıcıların gizlilik ayarlarıyla herkese açık hale getirdiği profil fotoğrafı, görünen isim, işletme adı ve profil durumu gibi bilgilerin WhatsApp Web istemcisi üzerinden erişilebilir olduğu gözlemlendi. Bu erişimin ek bir doğrulama gerektirmediği ifade edildi.
Güvenlik Açığı Değil, Teknik İnceleme
Bastama, çalışmanın bir güvenlik açığı veya istismar niteliği taşımadığını belirtti. İncelenen istemci–sunucu iletişiminin, WhatsApp Web uygulamasının kendi çalışma mantığı içinde kullanılan uç noktalara dayandığı ve herhangi bir yetki aşımı yapılmadığı vurgulandı.
Etik Çerçeve Vurgusu
Araştırmacı Ebubekir Bastama, elde edilen bulguların yalnızca teknik analiz ve araştırma amacıyla değerlendirildiğini, spam, otomasyon veya izinsiz pazarlama faaliyetlerinde kullanılmasının platform politikalarına aykırı olduğunu ifade etti.
Ajans Expres Gazetesi
Tepkiniz Nedir?
