WhatsApp Mesaj İçerikleri Sonradan Değiştirilebilir mi?
Akıllı cep telefonlarının hayatın hemen hemen her alanında ve anında kullanılıyor olması adli olsun ya da olmasın bir olayın ortaya çıkartılmasında birinci delil olarak kabul edilmeye başlandı. Bunun en önemli gerekçesi ise günlük hayatımızdaki pek çok önemli ve özel anların akıllı cep telefonları tarafından kaydediliyor ya da aktarılıyor olmasıdır.Türkiye’de akıllı cep telefonları ile anlık mesajlaşma amacıyla en fazla kullanılan uygulama WhatsApp, Telegram, Signal, Bip gibi uygulamalardır. Son zamanlarda DIFOSE’un hem İstanbul hem de Ankara’daki adli bilişim laboratuvarlarına gelen vakalarda tarafların anlaşamadığı ya da birbirlerinin iddialarının aksini tespit ettirmek amacıyla teknik inceleme talep edenlerin sayısında artış yaşanmaktadır. Adli Bilişim, bir olayı baştan kabulü reddeder ve olayı çeşitli bilimsel deney ve gözlemlere dayanarak incelemeyi amaç edinir. Bir başka deyişle, WhatsApp uygulamasının veri tabanındaki içerik özel bazı uygulamalar ile değiştirilebiliyor ise “artık WhatsApp uygulamasının delil niteliği taşımadığını!” peşinen kabul etmek yerine, bu manipülasyonun nasıl ve ne şekilde yapıldığını tespit ederek sürece katkı sağlamak adli bilişim alanının ve adli bilişim uzmanının en önemli işi olmalıdır. Bu nedenle, DIFOSE Adli Bilişim Laboratuvarları’na gelen vakalardan el edindiğimiz tecrübelerimiz ile akıllı cep telefonlarında kullanılan anlık mesajlaşma uygulamalarının veri tabanları üzerinde üçüncü parti uygulamalarla gerçekleşmesi muhtemel suiistimaller konusunda bir çalışma yaparak toplumu bilgilendirmek ve bu alanda bir farkındalık oluşturmak amacıyla bu yazıyı kaleme aldık.Yazımızda, akıllı cep telefonlarında yer alan anlık mesajlaşma uygulamalarındaki veriler üzerinde karşılaştığımız bir suistimal örneğini bir senaryoya dayanarak canlandırmak suretiyle konuyu ele almaya çalışacağız. Senaryo kapsamında gerçekleşen suistimal olayını ortaya koyduktan sonra, piyasadan ikinci el olarak temin ettiğimiz iOS ve Android işletim sistemleri kurulu iki cep telefonunda senaryoyu baştan tekrar canlandırarak gerçeği bulmaya ve olayı bilimsel bir deney metodu ile aydınlatmaya çalışacağız. Yapacağımız bu çalışma ile WhatsApp uygulamasının veri tabanında yer alan iletişim içeriklerinin nasıl ve ne şekilde değiştirilebileceğini ortaya koyarak, halen ülkemizdeki pek çok anlaşmazlık ve uyuşmazlığa konu olan WhatsApp anlık mesajlaşma vakalarının daha sağlıklı bir zeminde değerlendirilmesine olanak sağlayacağını temenni etmekteyiz.
“Yapacağımız bilimsel deney çalışmasındaki tüm testler piyasasından ikinci el olarak temin ettiğimiz Samsung marka SM-G900FQ (Galaxy S5) model Android 4.4.2 işletim sistemli akıllı telefon ile Apple marka A1457 (iPhone 5s) model iOS 12.4.1 işletim sistemli akıllı telefon üzerinde yapılacaktır. Sonuç olarak adli bilişim incelemelerinde uygulanan bilimsel deney ve metotlar başka bir uzman tarafından da tekrar edildiğinde aynı sonucu elde edecektir.”
Örnek Senaryo
Örnek senaryomuzda; WhatsApp mesajlaşma uygulaması üzerinde müşteri ile satış temsilcisi arasında geçen yazışmayı ve devamında yapılan suiistimali inceleyeceğiz. Müşterinin cep telefonuna ait aşağıda sunulan ekran görüntüsündeki yazışmalarda; “B120CK11” barkod numaralı ürünün fiyatının 3.499 TL olduğu ve en geç 1 hafta içerisinde kapıda ödeme seçeneğiyle müşteriye ulaştırılacağı bilgisi açık bir şekilde görülmektedir.
Açık ve net bir şekilde görülebilen bu bilgilere rağmen, söz konusu firma ürünü taahhüt ettiği zaman diliminde ve beyan ettiği bedelle göndermediği gibi ürün WhatsApp mesajlaşma uygulaması üzerinde yapılan bu sohbetin üzerinden 1 ay geçtikten sonra müşteriye ulaşmıştır. Aynı şekilde, kargo şirketi tarafından getirilen faturada fiyat bilgisi ekran görüntüsünde görülenin aksine 3.499 TL yerine 5.599 TL olarak yer almaktadır. Karşılaştığı olayda satıcıyı suçlayan müşteri tüketici hakem heyetine müracaat etmiş ve firmadan şikayetçi olmuştur. Tüketici hakem heyeti, müşterinin ve satış temsilcisinin cep telefonlarına ait bire bir kopyaların uzman bilirkişilerce incelenmesine ve ortaya çıkacak maddi gerçeğe göre hareket etmeyi kararlaştırmıştır. Görevlendirilen bilirkişi tarafından cep telefonlarına ait bire bir kopyalar üzerinde yapılan incelemede her iki telefondaki WhatsApp anlık mesajlaşma verileri detaylı bir şekilde incelenmiştir. Bilirkişi, inceleme neticesinde her iki telefonda da mesajlaşma tarih ve saatlerinin birebir aynı olduğunu, ancak fiyat bilgisi ve teslimat sürelerinin belirtildiği satırların telefonlarda farklı şekilde yer aldığını tespit edilmiştir. Şöyle ki; müşterinin cep telefonuna ait bire bir kopya üzerinde fiyat bilgisi 3.499 TL ve teslimat süresi 1 hafta iken, satış temsilcisine ait cep telefonunun bire bir kopyası üzerinde bu bilgiler 5.599 TL ve 1 ay şeklinde görülmektedir. Geri kalan tüm iletişim içerikleri birebir aynı iken sadece fiyat bilgisi ve teslimat süresinin yer aldığı satırlarda farklılık bulunmaktadır.
Peki, uçtan uca şifrelenmiş mesajlaşma özelliği sunan WhatsApp gibi bir uygulamada mesaj içeriklerindeki farklılıklar nasıl açıklanabilir? Bu tür bir tutarsızlık varken bilirkişi ve dolayısıyla tüketici hakem heyeti maddi gerçeğe nasıl ulaşabilir? Cep telefonlarının bire bir kopyalarının bilirkişi tarafından incelenmesi neticesinde ya müşterinin firmaya iftira atmış olduğu ya da satış temsilcisinin müşteriye karşı yalan söylediği anlaşılacaktır. Ancak, WhatsApp uygulaması ile yapılan anlık mesajlaşma görüşme içeriğinin hangi telefon üzerindeki veri tabanında orijinal halde olduğunun tespitini yapmadan verilecek kararın bilimsel olmayacağını belirtmek isteriz. Her iki telefonun bire bir kopyası üzerinde yapılan inceleme sonuçlarını gösteren ekran görüntüleri aşağıda sunulmuştur. Sonraki bölümde yukarıda anlattığımız senaryonun nasıl gerçekleştiğini ve iddia sahiplerinden hangisinin doğruyu söylediğini ortaya çıkarmaya çalışacağız.
Olayın ÇözümüYukarıda örnek olarak yazdığımız ve gerçekleşmesi muhtemel senaryoda olayın aydınlatılmasını sağlayacak maddi gerçeklere nasıl ulaşabileceğimizi ve uçtan uca güvenlik vadeden WhatsApp gibi bir uygulamada mesajlar arasındaki tutarsızlığın nasıl meydana gelebildiğini adım adım ilerleyerek ortaya koymaya çalışacağız. Yazımızın başında da belirttiğimiz gibi senaryoyu tekrar canlandırmak amacıyla üzerlerinde bir adet iOS ve bir adet Android işletim sistemleri kurulu iki adet cep telefonunu kullanacağız.Senaryoyu canlandırmak amacıyla öncelikle piyasadan temin ettiğimiz cep telefonlarını fabrika ayarlarına döndürdük ve ardından uygulama mağazalarından WhatsApp anlık mesajlaşma uygulamalarını cep telefonlarına kurduk. Müteakiben WhatsApp anlık mesajlaşma uygulamasında senaryomuzdaki mesajlaşmaları aynen yazarak karşılıklı olarak gönderilmesini sağladık. Daha sonra veri tabanları içerisinde yer alan mesajları karşılaştırdık ve aynı olduğunu gördük. Bu mesajları manuel olarak değiştirmek mümkün olmadığından üçüncü parti bir editör ile değiştirilmesinin mümkün olduğunu, ancak üçüncü parti uygulamalar ile değiştirebilmek içinse cep Android işletim sistemi kurulu telefonda Root işlemi, iOS kurulu telefonda ise Jailbreak işleminin yapılması gerektiği anlaşıldı. Çalışmamızı adım adım tamamlamak için Android yüklü cep telefonuna “Root” işlemi, iOS yüklü cep telefonuna ise “Jailbreak” işlemi yaparak cep telefonları üzerinde yönetici yetkisiyle sistem tarafından korunan dosyalara erişim hakkını elde etmiş olduk. “Root” ve “Jaibreak” işlemleri neticesinde normal şartlarda kullanıcının erişim yetkisi olmayan dosyalara erişmenin yanı sıra bu dosyalar üzerinde değişiklik yapma imkanını da elde etmiş olduk. Bu işlemlerin ardından cep telefonlarına kurduğumuz veritabanı düzenleme (edit etme) uygulamaları ile anlaşmazlığa konu anlık WhatsApp mesajlarının içeriğine eriştik. Veritabanı düzenleme uygulaması ile WhatsApp mesajlarını örneğimizde olduğu gibi elle yeniden düzenledik.
Gerek Android gerekse iOS işletim sistemleri kurulu telefonlardaki WhatsApp mesajlarında istediğimiz değişiklikleri örnek olayımızdaki gibi yaptıktan sonra her iki telefonunda ekran görüntülerini tekrar aldık. WhatsApp anlık mesajlarının ilk hali ile düzenleme uygulamasıyla değişiklik yapıldıktan sonraki halleri aşağıda ekran görüntüsü olarak sunulmuştur.
Ekran görüntülerinde de görüldüğü gibi, her iki cep telefonunda da satış fiyatı bilgisi ile teslimat süresi değiştirilmiştir. Yapılan değişiklikler veritabanı dosyası içerisindeki satırlarda yapıldığından ve bu değişikliğin sistemde herhangi bir iz bırakmaması nedeniyle cep telefonu adli bilişim inceleme yazılımlarının hangi verinin orijinal olduğunu tespit etmesi mümkün değildir. Anlık mesajlaşma WhatsApp uygulamasının sürekli kullanılıyor olması nedeniyle veritabanı dosyasının değiştirilme ve son erişim tarihleri de sürekli güncelleneceği için mesaj içeriklerinin değiştirildiği iddia edilen tarihten sonra asla kullanılmamış olmalı ki veritabanına müdahale edilip edilmediği anlaşılsın. Bu durumda; cep telefonları üzerinde “Root” veya “Jailbreak” işlemleri olup olmadığı hususu incelenmez ise her iki telefonda kurulu olan WhatsApp uygulama içeriklerinin hangisinin orijinal olduğunu anlamak mümkün olmayacaktır. Bir diğer husus ise, içeriğin değiştirilmiş olduğu düşünülen telefonda bu değişikliğin üçüncü parti bir uygulama ile yapılmak zorunda olunması nedeniyle cep telefonunda kurulu halde bulunan ya da kaldırılmış uygulamaların detaylı incelemesi olacaktır. Şayet, şüpheli telefonlardan birisi “Root” ya da “Jailbreak” yapılmış ve telefonda veritabanı içeriğini değiştirmeye yarayan üçüncü parti bir uygulama kurulu ya da kaldırılmış, diğer telefonda “Root” ve “Jailbreak” işlemi yapılmamış ve de veritabanı değiştirmeye yarayan üçüncü parti bir uygulama yüklenmemiş ise orijinal olan içeriğin tespiti mümkün olabilecek ve herhangi bir manipülasyonun yapılmadığı cep telefonunun içeriğinin doğru olduğuna kanaat getirilebilecektir.“Root” ve “Jailbreak” işlemi uygulanmış cep telefonlarında senaryomuz WhatsApp mesajlaşma uygulamasının içeriğinde değişiklik yapılabilmesinin yanı sıra cep telefonunda bulunan pek çok veri ve dosya üzerinde değişiklik yapmak mümkündür. Bu nedenle, cep telefonu adli incelemelerinde izlenmesi gereken en önemli yol, öncelikle incelemeye konu cep telefonu üzerinde “Root” veya “Jailbreak” işlemi yapılıp yapılmadığının tespit edilmesidir. Örnek olayımızda olduğu gibi bir tutarsızlık veya suiistimal olayıyla karşı karşıya kalan bilirkişinin cevabını araması gereken iki önemli soru vardır. Birincisi “Cep telefonu üzerinde Root veya Jailbreak işlemi yapılmış mı?”, ikinci soru ise “senaryomuzdaki örneğe benzer değişikliklerin yapılabileceği herhangi bir düzenleme uygulaması yüklenmiş/kaldırılmış mı?” olmalıdır. İddia sahiplerine veya taraflara ait telefonlarda yapılacak adli incelemelerde bu sorulara verilecek cevapların ardından hangi telefondaki verinin orijinal veya gerçek olduğu ortaya çıkartılabilir.
Yukarıda anlatılan senaryo ülkemizde ve globalde kullanılan en popüler anlık mesajlaşma uygulaması olan Whatsapp üzerinde gerçekleştirilmiştir. Söz konusu senaryoda anlatılan teknikte veritabanı üzerinde yapılan değişiklik söz konusu olduğu ve akıllı telefonlarda tüm uygulama verileri veritabanlarında tutulduğundan telefonda yer alan diğer uygulamalarda da (mesajlar, arama kayıtları, notlar vb.) aynı suistimalin gerçekleşmesi de söz konusudur.
Yapılan laboratuvar çalışmaları neticesinde 17.6.1 iOS işletim sistemine kadar olan iPhone X, iPhone 11, iPhone 12, iPhone 13, iPhone 14 ve iPhone 15 model cep telefonlarında Jailbreak imkanı olduğundan Whatsapp mesajlarının değiştirilmesi işleminin yapılabildiği tespit edilmiştir. Ayrıca telefonlara Jailbreak ve Root işlemi yapıldıktan sonra tekrar kaldırılabilmektedir. Kullanılan Jailbreak yöntemi ve versiyonuna göre; Jailbreak yapılıp yapılmadığına dair iz kalması ya da kalmaması durumları oluşmaktadır.
Adli bilişim laboratuvarlarımıza gelen vakalarda karşılaştığımız önemli olaylara ait teknik hususları buradan paylaşmaya devam edeceğiz.Bir dahaki yazımızda görüşmek dileğiyle esen kalınız.
Samet Yılmaz – Msc. Digital Forensic Engineer – DIFOSE Digital Forensics Services LLC | LinkedIn