Tarayıcı İçindeki Görünmez Tehditleri Anlamak
Modern tarayıcılar artık sadece web sayfası görüntüleyen araçlar değil; sesli görüşme yapabilen, dosya aktarabilen, hatta doğrudan cihazlar arası bağlantı kurabilen platformlara dönüştü. Bu dönüşümün merkezinde yer alan teknolojilerden biri de WebRTC (Web Real-Time Communication).
WebRTC, kullanıcı deneyimi açısından büyük kolaylık sağlasa da, siber güvenlik ve gizlilik tarafında çoğu zaman yeterince sorgulanmıyor. Hatta birçok kurumda WebRTC’nin aktif olduğunun bile farkında olunmuyor.
Bu yazıda WebRTC’yi teorik tanımlardan uzaklaşıp, gerçekten tarayıcı içinde ne yaptığı, neden güvenlik ekiplerinin radarına girmediği ve hangi riskleri barındırdığı üzerinden ele alacağız.
WebRTC Tam Olarak Ne Yapar?
WebRTC’nin temel amacı şudur:
Tarayıcıların, arada klasik bir sunucu olmadan, doğrudan birbirleriyle gerçek zamanlı iletişim kurabilmesini sağlamak.
Bu iletişim:
- Ses
- Görüntü
- Veri (dosya, mesaj, komut)
şeklinde olabilir.
Zoom, Google Meet, Discord Web gibi servislerin tarayıcıdan çalışabilmesinin temel sebebi WebRTC’dir.
Ancak bu “doğrudan bağlantı” yeteneği, tarayıcının kullanıcının ağ yapısını detaylı şekilde analiz etmesini zorunlu kılar. İşte güvenlik tarafında sorun tam olarak burada başlar.
Tarayıcı Senin Ağın Hakkında Neleri Öğreniyor?
WebRTC çalışmaya başladığında tarayıcı şu bilgileri toplamaya çalışır:
- Yerel IP adresleri (192.168.x.x, 10.x.x.x)
- VPN arkasındaki gerçek IP
- IPv6 adresleri
- NAT tipi
- Aktif ağ arayüzleri (Wi-Fi, Ethernet, sanal adaptörler)
Bu süreç ICE (Interactive Connectivity Establishment) olarak adlandırılır.
Önemli nokta şudur:
Bu bilgiler kamera veya mikrofon izni olmadan, sadece JavaScript ile toplanabilir.
Basit Bir Örnek: VPN Açıkken IP Nasıl Sızıyor?
Bir kullanıcı VPN kullandığını düşünelim.
Tarayıcıdan masum görünen bir web sitesine giriyor.
Site arka planda WebRTC API’sini çağırıyor.
Sonuç:
- HTTPS trafiği VPN’den gidiyor
- Ama WebRTC, VPN tünelini bypass ederek gerçek IP adresini öğrenebiliyor
Bu durum özellikle:
- Gizlilik odaklı kullanıcılar
- Gazeteciler
- Aktivistler
- Siber güvenlik profesyonelleri
için ciddi bir risk oluşturuyor.
WebRTC ve Parmak İzi (Fingerprinting)
WebRTC sadece IP adresi sızdırmaz.
Aynı zamanda:
- Desteklenen medya codec’leri
- Donanım hızlandırma özellikleri
- Mikrofon ve kamera sayısı
- Ağ bağlantı karakteristikleri
gibi bilgileri de açığa çıkarabilir.
Bu veriler birleştirildiğinde, kullanıcı için benzersiz bir dijital parmak izi oluşur.
Çerezler silinse bile:
- Kullanıcı tekrar tanınabilir
- Oturumlar eşleştirilebilir
- Profil çıkarılabilir
Bu yönüyle WebRTC, klasik izleme yöntemlerinden çok daha güçlüdür.
“Kamera Açıyor mu?” Yanlış Anlaşılan Konu
WebRTC hakkında en sık sorulan sorulardan biri şudur:
“WebRTC gizlice kameramı açabilir mi?”
Cevap net:
- ❌ İzinsiz kamera veya mikrofon açamaz
- ❌ Tarayıcı uyarısı olmadan ses kaydı yapamaz
Ancak:
- Kullanıcı bir kez izin verdiyse
- Aynı domain altında
- Arka planda
kısa süreli medya erişimleri teknik olarak mümkündür. Bu da özellikle kötü niyetli sitelerde risk oluşturur.
WebRTC DataChannel: Görünmez Veri Tüneli
WebRTC’nin en az konuşulan ama en riskli özelliklerinden biri DataChannel’dır.
DataChannel:
- Tarayıcıdan tarayıcıya
- Şifreli (DTLS)
- UDP veya TCP üzerinden
- Proxy ve DLP sistemlerini aşabilecek şekilde
veri aktarımı sağlar.
Kurumsal ağlarda bu şu anlama gelir:
- Kullanıcı farkında olmadan veri dışarı çıkabilir
- SOC ekipleri trafiği göremeyebilir
- DLP ve firewall kuralları atlatılabilir
Bu özellik, WebRTC’yi sadece gizlilik değil, kurumsal veri güvenliği açısından da kritik hale getirir.
Neden Güvenlik Ekipleri WebRTC’yi Gözden Kaçırıyor?
Bunun birkaç temel sebebi var:
- HTTPS gibi görünmesi
Trafik masum web trafiği sanılır. - Standart portlar kullanmaması
Kural yazmak zordur. - Şifreli olması
İçerik analiz edilemez. - Tarayıcı içi çalışması
Endpoint agent’lar her zaman yakalayamaz. - Politikalarda yer almaması
Çoğu güvenlik rehberinde WebRTC başlığı yoktur.
Sonuç olarak WebRTC, “kimsenin bakmadığı ama herkesin kullandığı” bir teknoloji hâline gelir.
Güvenlik Perspektifinden Ne Yapılmalı?
Bireysel Kullanıcılar İçin
- WebRTC IP leak testleri yapılmalı
- VPN ile birlikte WebRTC leak protection kullanılmalı
- Gereksizse tarayıcıdan kapatılmalı
Kurumsal Ortamlar İçin
- Tarayıcı politikaları (GPO / MDM) ile kontrol altına alınmalı
- STUN/TURN trafiği izlenmeli
- Güvenlik farkındalık eğitimlerine WebRTC eklenmeli
Sonuç
WebRTC kötü niyetli bir teknoloji değil.
Ancak:
- Fazla yetkili
- Varsayılan açık
- Yeterince denetlenmiyor
Bu üçlü birleştiğinde, WebRTC modern tarayıcıların en görünmez risk alanlarından biri hâline geliyor.
Asıl problem şu:
Kullanıcılar WebRTC’yi açtıklarını bilmiyor,
güvenlik ekipleri ise kapatmaları gerektiğini fark etmiyor.
