XChat: Elon Musk’ın yeni mesajlaşma uygulamasında yolunda gitmeyen neler var?

Elon Musk’ın yeni mesajlaşma uygulaması XChat’i; uygulamanın uçtan uca şifreleme özelliği hakkında bildiklerimizden bu yeni hizmetin Signal, WhatsApp ve Telegram ile gerçekten rekabet edip edemeyeceğine kadar, mercek altına alıyoruz.

Elon Musk'ın XChat'i: Yeni mesajlaşma uygulaması ne kadar güvenli?

Pavel Durov ve onun “özel” mesajlaşma uygulamasının yepyeni bir rakibi var; ve bu rakip, sıkı durun…… Elon Musk ve onun XChat uygulaması. Blogumuzda, Durov’un Telegram’ın gizlilik ve güvenliği hakkındaki iddialarının, en hafif tabirle, abartılı olduğunu defalarca ele aldık. Bu noktada okuyucuya, Telegram’daki standart (gizli olmayan) sohbetlerin uçtan uca şifreleme ile korunmadığını hatırlatmak isterim. Uçtan uca şifreleme, kullanıcı verilerinin gizliliğini korumak için gerekli olan en temel şarttır.

Ama şimdi biz Musk’a geri dönelim. 2026 yılının Nisan ayı sonlarında, XChat uygulaması iOS kullanıcıları için kullanıma sunuldu. Teknoloji devi, mesajlaşma uygulamasını uzun süredir övüyordu; ilk günden itibaren bu uygulamayı, son derece gizli ve güvenli bir iletişim aracı olarak tanıtmış ve Signal, WhatsApp, Telegram ve iMessage için doğrudan bir tehdit olarak sunmuştu. Bugün, Musk’ın vaatlerine bu yeni hizmete; gerçekten güvenip güvenemeyeceğimizi ele alacağız, hizmetin temel özelliklerini inceleyeceğiz ve rakipleriyle karşılaştıracağız.

Bitcoin tarzı şifreleme

Musk, XChat’i ilk olarak 1 Haziran 2025’te, doğal olarak X (eski adıyla Twitter) hesabı üzerinden duyurmuştu. Başka bir kullanıcının yeni hizmetin ne zaman başlayacağına dair sorusuna yanıt veren Musk, “Ölçeklendirmeyle ilgili bir sorun çıkmazsa bu hafta” diye yazdı.

Görünüşe göre bazı ölçeklendirme sorunları vardı: Uygulamanın beta sürümü Eylül 2025’e kadar yayınlanmadı ve iOS kullanıcıları Nisan 2026’ya kadar tam erişim sağlayamadı. Android’e gelince, bu yazının yazıldığı tarihte bu sürümün ne zaman piyasaya çıkacağına dair hiçbir bilgi yok. Bununla birlikte, Google Play’de halihazırda bir XChat sayfası yayında ve kullanıcılar burada ön kayıt için sıraya girebiliyorlar. Bu ne anlama geliyorsa artık.

Şimdi Musk’ın XChat’i duyurduğu gönderisine geri dönelim. Bu paylaşım, gizlilik ve siber güvenlik camiasında büyük yankı uyandırdı. Nedeni ise şuydu: Teknoloji devi, hizmetin Rust dilinde yazılmış ve “Bitcoin tarzı şifreleme” özelliğine sahip “tamamen yeni bir mimari” üzerine kurulacağını yazmıştı.

Elon Musk'ın XChat duyurusu

Elon Musk, XChat’in piyasaya sürüldüğünü duyurdu ve yeni mesajlaşma uygulamasının Rust dilinde yazıldığını ve “Bitcoin tarzı şifreleme” kullandığını belirtti. Kaynak

Uzmanlar, Musk’ın aslında ne demek istediğini anlamaya çalışmak için uzun süre kafa yordular. Sonuçta Bitcoin, anonim ve şifreli bir veri alışveriş sistemi değildir. Blok zinciri, açık ve özel şifreleme anahtarlarını kullanır, ancak bunun amacı tamamen farklıdır: İşlemleri imzalamak. Bu arada, bu işlemler meraklı gözlerden gizli kalmıyor; herkesin görebileceği şekilde ortada duruyor ve sonsuza dek orada kalacak. Basitçe söylemek gerekirse, Bitcoin kullanıcılarını gizliliği sağlayarak değil, tam tersine, tam bir şeffaflık sayesinde korur.

Büyük olasılıkla Musk, “Bitcoin tarzı şifreleme”yi bir pazarlama hilesi olarak kullandı. Duyuru yapıldığı sırada Bitcoin tüm zamanların en yüksek seviyelerine yakın bir seviyede işlem görüyordu ve kripto para birimleri herkesin dilindeydi. Teknik olarak, Eylül 2025’te piyasaya sürülen XChat beta sürümü, kullanıcı sohbetlerini “bir nevi” uçtan uca şifrelemeyle koruyordu; ancak bu şifreleme, kriptografi uzmanları arasında ciddi şüpheler uyandıracak şekilde uygulanmıştı.

Ve bu, sebepsiz değil. Genellikle, uçtan uca şifreli bir sohbet kurulduğunda, bir açık ve özel anahtar çifti otomatik olarak oluşturulur. Açık anahtar mesajları şifrelemek için kullanılırken, özel anahtar ise bunların şifresini çözer. Diğer kullanıcıların sizinle güvenli bir sohbet başlatabilmesi için açık anahtarınıza ihtiyaç duydukları için, bu anahtarlar genellikle uygulamanın sunucularında saklanır.

Ancak özel anahtar, ideal olarak yalnızca kullanıcının cihazında bulunmalıdır ki Signal de tam olarak bunu yapmaktadır. Bu; ne şirketin kendisinin ne de altyapısına izinsiz erişim sağlayan herhangi bir üçüncü tarafın, isteseler bile kullanıcı sohbetlerine erişemeyeceğine dair basit ve kesin bir güvence sağlar.

Ancak Elon Musk’ın projeleri her zaman kendi kurallarına göre ilerler: XChat geliştiricileri, kullanıcıların özel anahtarlarını XChat sunucularında saklamanın harika bir fikir olduğuna karar verdiler. X, bu özel anahtarları depolamak için donanım güvenlik modülleri (HSM’ler) kullanacağını belirtiyor. Bu modüller, sistem sahibinin bile içindeki verilere kolayca erişmesini engellemek üzere tasarlanmış özel cihazlardır. Ancak uzmanlar bu sistemin güvenilirliğini de sorguluyor ve karamsar bir sonuca varıyor: X, bir kullanıcının özel anahtarını gerçekten ele geçirmek isterse, bunu büyük olasılıkla başarabilecektir.

XChat’te şifreli mesajlaşma pratikte nasıl işliyor?

Son olarak, duyurudan yaklaşık bir yıl sonra ölçeklendirme sorunları giderildiğinde, X, Nisan 2026’da iOS için XChat uygulamasını resmi olarak piyasaya sürdü. Artık herkes bu özelliği kullanabiliyor, ancak pratik açıdan bakıldığında şifreli sohbetler konusunda durum Telegram’dakinden bile daha karmaşık görünüyor.

Sosyal ağın yardım merkezine göre, XChat’te uçtan uca sohbet şifrelemesini kullanmak için her iki kullanıcının da bir X hesabına sahip olması, XChat’i kurması ve aralarında bir tür bağlantı olması gerekiyor:

  • Birbirlerini takip etmeli veya karşılıklı olarak abone olmalılar
  • Daha önce mesajlaş olmalılar
  • Daha önce bir özel mesaj talebini kabul etmiş olmalılar
  • X’te aynı Premium İşletme / Premium Kuruluş aboneliğinin üyesi olmalılar

Kullanıcılar birbirlerini takip etmiyor ve daha önce etkileşimde bulunmamış olsalar bile, XChat yine de mesaj talebi göndermelerine izin verebilir. Ancak, bu ilk talep uçtan uca şifreleme olmadan gönderilir.

Yine, mesajlaşma uygulamasının resmi yardım belgelerinde süreç bu şekilde açıklanıyor. Kulağa aşırı karmaşık mı geliyor? Sizi temin ederim ki: pratikte işler tamamen farklı şekilde yürür – ya da daha doğrusu, yürümez. Ben şahsen, XChat’i kurmamış olan başka bir kullanıcıya mesaj göndermeyi başardım. Tabii ki uygulama bu konuda bana hiçbir uyarıda bulunmadı.

XChat, kullanıcıların uygulamayı yüklememiş kişilere mesaj göndermesine olanak tanır

Bu uygulama, gönderene önceden haber vermeden, XChat’i henüz kurmamış bir kullanıcıyla sohbet başlatmanıza olanak tanır.

Daha da iyisi var. Mesaj attığım kullanıcı, X’in web sürümünde bununla ilgili bir bildirim gördü, ancak mesaja aslında erişemedi. İşin püf noktası şu: XChat’i kullanmaya başlamak için kullanıcının önce dört haneli bir PIN oluşturması gerekiyor. Oysa uygulama, kullanıcı onu ilk kez açmaya çalıştığında bu PIN kodunu istiyor, yani kullanıcı henüz bir PIN kodu oluşturma fırsatı bile bulamadan. Bu uyarıyla birlikte, kullanıcıya PIN kodu olmadan geçmişteki şifreli sohbetleri görüntüleyemeyeceğine dair bir uyarı da gösteriliyor.

XChat, bir PIN kodu oluşturulmadan önce bile PIN kodu girilmesini istiyor

Kullanıcı, XChat’in ilk kurulumunu tamamlamadan önce bile eski mesajların şifresini çözmek için bir PIN girmesi isteniyor.

XChat’i gerçekten kullanmaya başlamak için bulduğum tek çözüm, “PIN’i unuttunuz mu?” seçeneğine dokunmak (her ne kadar bu PIN başından beri hiç var olmamış olsa da), kimliğinizi doğrulamak ve yenisini (yani ilk PIN’inizi) oluşturmaktır. Elbette bu şekilde sohbet geçmişinize erişiminizi kaybedersiniz; dolayısıyla, uygulamayı resmi olarak kurmadan önce XChat üzerinden size gönderilen mesajları okuyamazsınız.

XChat: Yeni Telegram, WhatsApp, Signal… yoksa Facebook Messenger mı?

Aslında tüm bu PIN engellerinin var olmasının bir nedeni var. Unutmayın, WhatsApp ve Signal’den farklı olarak, XChat geliştiricileri kullanıcıların özel anahtarlarını kendi sunucularında saklamaya karar verdiler. Sonuç olarak, uygulama bu dört basamaklı PIN kodlarını kullanarak söz konusu anahtarları şifrelemektedir.

XChat yardım belgelerine göre, bu mekanizma “kesintisiz” bir çoklu cihaz deneyimi sağlamak üzere tasarlanmıştır. WhatsApp ve Signal’in bunu, PIN kodu zorunluluğu ya da sunucu tarafında özel anahtar depolama gibi şüpheli geçici çözümler kullanmadan başardığını belirtmemek elde değil.

Sorun şu ki, bu tür geçici çözümler, uygulamanın gizlilik ve güvenlik iddialarını zayıflatıyor. En önemlisi, PIN kodu hassas verileri korumak için en güvenli yöntem sayılmaz. Dört haneli kodların deneme yanılma yöntemiyle kolayca kırılabileceğini defalarca belirtmiştik; hem de XChat, doğru kodu bulmak için size 20 deneme hakkı tanırken.

XChat, 20 başarısız denemeden sonra hesabın kilitleneceği konusunda uyarıyor

Uygulama, dört haneli PIN kodunu girmek için en fazla 20 deneme hakkı tanıyor. Sınır aşıldığında, XChat mesajlara erişimin kalıcı olarak kaybedileceği konusunda uyarıda bulunuyor.

Diğer mesajlaşma uygulamalarıyla karşılaştırıldığında uçtan uca şifrelemenin tuhaf uygulamasını bir kenara bırakırsak, XChat’i kullanmaya çalışırken hissedilen genel anlamsızlığı görmezden gelmek zor. Wired dergisinden bir gazetecinin haklı olarak belirttiği gibi, bu uygulama WhatsApp, Signal veya Telegram’ın bir benzeri gibi değil, daha çok Facebook Messenger’a benziyor. Ancak insanlar genellikle annelerinden ya da anneannelerinden gelen mesajları okumak için Messenger’ı açarken, XChat daha çok tüm boş zamanını X’te geçiren, hâlâ John McAfee’nin 500.000 dolarlık Bitcoin vaadine inanan ve Elon Musk hayranı olan o tuhaf yeğenini kontrol etmek isteyenler için tasarlanmış gibi görünüyor.

Peki, XChat hakkında genel değerlendirme nedir?

Bu yazıyı sonlandırmanın en iyi yolu, bir siber güvenlik uzmanının şu sözünü aktarmak: “İstediğiniz şey iyi bir güvenlikse, Signal’i kullanın. Eğer istediğiniz şey, şifreli mesajlar aracılığıyla hemen hemen herkesle iletişim kurabilmekse, WhatsApp’ı kullanın. Eğer tüm hayatınız X’e odaklanmışsa, sanırım bu hiç yoktan iyidir.”

XChat kullanıyorsanız, en önemli kural tahmin edilebilir bir PIN kullanmaktan kaçınmaktır; doğum yılınızı ya da daha da kötüsü 1234 gibi bir kodu kesinlikle kullanmayın. Bu kodu unutmamak da çok önemlidir; çünkü unutursanız, tüm sohbet geçmişiniz geri dönülmez bir şekilde silinir. Son olarak, diğer parolalarınızda olduğu gibi, bunu notlar uygulamanızda değil, güvenli bir şifre yöneticisinde saklamalısınız. Bu, sizi onlarca karakter kombinasyonunu ezberlemek zorunda kalmaktan kurtaracak, aynı zamanda hayati önem taşıyan verilerinize ve sohbetlerinize erişiminizi kaybetme riskini de azaltacaktır.

Diğer uygulamalarda güvenli mesajlaşma hakkında daha fazla bilgi edinmek için diğer yazılarımıza göz atın:

İpuçları

Her iki paroladan biri (neredeyse) bir dakikadan kısa sürede kırıldı

İki yıl önce ilk kez gerçekleştirdiğimiz, karanlık ağda sızdırılan gerçek hayattaki parolaların kırılabilirliğine ilişkin çalışmamızı yeniden ele aldık. Sonuçlar düşündürücü: Parolaların neredeyse yarısı bir dakikadan kısa sürede kırılabilirken, beş paroladan üçü bir saatten az sürede kırılıyor. Güvenli olmayan parolalardan nasıl kurtulabiliriz?

  • Diğer tüm ülkeler için