جدیدترین واکاوی پیام رسان ناامنی به نام «واتساپ»!

پاول دورُف، مدیرعامل تلگرام، اواسط مهر در ادعایی نگران‌کننده گفت واتساپ سرویسی ناامن است و هکرها می‌توانند به اطلاعات گوشی کاربران این پیام‌رسان دسترسی پیدا کنند. مدیرعامل تلگرام همچنین مدعی شد واتساپ بیش از ۱۳ سال است که «ابزاری نظارتی» محسوب می‌شود.

با وجود تکذیب این گفته‌ها توسط مدیرعامل واتساپ، همچنان بسیاری از کاربران نگران امنیت این پیام‌رسان هستند و حتی به دیلیت اکانت واتساپ فکر می‌کنند.

واتساپ در سال ۲۰۱۴ به زیرمجموعه‌ای از شرکت متا (فیسبوک سابق) تبدیل شد. در آن زمان متا به واتساپ به‌عنوان رقیب اصلی سرویس‌های خودش نگاه می‌کرد و در حرکتی بحث‌برانگیز با ۱۹ میلیارد دلار واتساپ را تصاحب کرد. این اقدام متا تا سال‌ها بعد تحت نظارت نهادهای رگولاتوری بود، اما در نهایت این نهادها نتوانستند واتساپ را از متا جدا کنند.

متا سابقه‌ی خوبی در زمینه‌ی حریم خصوصی ندارد و فاجعه‌ای که این شرکت با کمبریج آنالیتیکا به بار آورد هرگز از ذهن کاربران پاک نمی‌شود. سابقه‌ی بد متا در حوزه‌ی حریم خصوصی باعث شده است خیلی‌ها ادعای شنود واتساپ را باور کنند.

آیا واتساپ امن است؟

واتساپ می‌گوید سرویسش را بر پایه‌ی سیستم رمزنگاری سرتاسری (End-to-End Encryption) طراحی کرده است تا پیام‌های کاربران به‌صورت پیش‌فرض تحت حفاظت باشد و به جز کسانی که پیام در بین آن‌ها مبادله شده است، هیچ فرد یا نهاد دیگری نتواند محتوای پیام‌ها را ببیند، حتی خودِ واتساپ. مدیران این پیام‌رسان ادعای شنود واتساپ را با اشاره به بهره‌مندی از سیستم رمزنگاری سرتاسری تکذیب می‌کنند: «آنچه به اشتراک می‌گذارید کاملاً تحت کنترل شما است.»

بیشتر بخوانید:

• عکس | پهپاد نام شهر حیرت‌انگیز ۵۰۰۰ هزار ساله را سر زبان‌ها انداخت

واتساپ اهمیت زیادی به رمزنگاری سرتاسری می‌دهد و در بخش آغازین تمامی صفحات چت با متنی به رنگ طلایی، این موضوع را به کاربر یادآوری می‌کند. واتساپ می‌گوید که اعتقاد دارد پیام‌های کاربران متعلق‌به خودشان است، به همین دلیل پیام‌ها به‌صورت محلی در داخل گوشی ذخیره می‌شوند و واتساپ محتویات آن‌ها را برای شرکت‌های تبلیغاتی به نمایش نمی‌گذارد. حداقل این ادعایی است که توسط خود واتساپ مطرح شده است.

بررسی‌ها نشان می‌دهد پیام‌های واتساپ با استفاده از پروتکل سیگنال و تماس‌های واتساپ بر پایه‌ی SRTP رمزنگاری می‌شوند. واتساپ همچنین می‌گوید تمامی ارتباطات بین کاربر و سرور «در داخل یک کانال رمزنگاری‌شده‌ی مجزا، لایه‌بندی می‌شود.» پروتکل سیگنال که برای پیام‌های واتساپ استفاده می‌شود نوعی پروتکل متن‌باز و تحت مجوز GPLv۳ است.

رمزنگاری سرتاسری کلیدواژه‌ای است که واتساپ برای تأکید بر حفظ حریم خصوصی به کار می‌گیرد و بر همین اساس می‌گوید ادعاهای شنود واتساپ حقیقت ندارد. رمزنگاری سرتاسری راهکاری برای ایمن کردن پیام‌ها است. اساس این سیستم، همان چیزی است که واتساپ ادعا می‌کند: صرفاً فردی می‌تواند پیام را بخواند که یک طرف ارتباط باشد و هیچ شخص سومی حتی شرکت ارائه‌دهنده‌ی سرویس پیام‌رسان (در این‌جا واتساپ) نمی‌تواند به کلیدهای موردنیاز برای رمزگشایی مکالمه دسترسی پیدا کند.

به ادعای کارشناسان حوزه‌ی امنیت، وقتی از سیستم رمزنگاری سرتاسری بهره بگیرید هیچ هکری توانایی دست‌کاری ارتباطات را ندارد. واتساپ اولین پیام‌رسان مجهز به رمزنگاری سرتاسری نیست، اما یکی از مهم‌ترین‌ها به‌حساب می‌آید، چون کاربران پرتعدادی دارد، کاربرانی که شدیداً نگران شنود واتساپ هستند و می‌خواهند بدانند که آیا واقعاً کسی می‌تواند واتساپ را شنود کند؟

در سال‌های نه‌چندان دور شایعه‌ی عجیبی بین مردم دست‌به‌دست می‌شد. برخی از افراد اعتقاد داشتند وقتی در واتساپ پیام تیک آبی می‌خورد، بدین معنی است که آن پیام توسط ادمین‌های واتساپ مشاهده شده است. این افراد تیک آبی را دلیلی برای اثبات شنود واتساپ قلمداد می‌کردند. اما همان‌طورکه می‌دانید تیک آبی به معنی دیده شدن پیام توسط طرف مقابل است.

با همه‌ی این‌ها، حقیقت مهمی را فراموش نکنید: در دنیای اینترنت مفهومی تحت عنوان امنیت ۱۰۰ درصدی معنا ندارد. تمامی تلاش متخصصان این است که سیستم‌های امروز ایمن‌تر از دیروز باشند، اما در بهترین حالت هم نمی‌توان امنیت کامل را تضمین کرد. با این اوصاف، حتی رمزنگاری سرتاسری نیز لزوماً از استراق سمع در امان نیست.

در اوایل سال ۲۰۲۲ ادعا شد استارتاپی به نام Boldend در زمانی نامشخص از سال ۲۰۱۷ به بعد، با اتکا بر یک آسیب‌پذیری امنیتی، ابزارهایی برای هک سیستم رمزنگاری واتساپ توسعه داده و به داده‌های کاربران دسترسی پیدا کرده است. گزارش‌ها می‌گویند واتساپ این آسیب‌پذیری امنیتی را در سال ۲۰۲۱ برطرف کرده است. نکته‌ی جالب این است که بخشی از سرمایه‌ی استارتاپ Boldend توسط یکی از سرشناس‌ترین سهام‌داران فیسبوک تأمین می‌شود.

در سال ۲۰۱۹ هکرها جاسوس‌افزار روی گوشی کاربران واتساپ نصب کردند و از همین طریق سراغ حمله‌ی سایبری به واتساپ رفتند. این عملیات سایبری ازطریق نقصی امنیتی در سیستم تماس صوتی واتساپ، بدافزار به گوشی کاربران تزریق کرد. چند ماه بعد، واتساپ گفت NSO Group مسئول این حمله‌ی سایبری بوده و به همین دلیل از این شرکت پرحاشیه در دادگاه شکایت کرد. واتساپ گفت حمله‌ی سایبری مورد اشاره، قوانین ایالات متحده را نقض کرده است. گفته می‌شود در این حمله‌ی سایبری حداقل ۱۰۰ مدافع حقوق بشر، روزنامه‌نگار و دیگر اعضای جامعه‌ی مدنی مورد هدف قرار گرفته‌اند. مجموعا ۱٬۴۰۰ نفر در ۲۰ کشور دنیا از این حمله متأثر شدند.

در اوایل سال ۲۰۲۰ ادعا شد جف بیزوس، بنیان‌گذار آمازون و از سرشناس‌ترین میلیاردهای صنعت فناوری، پیامی رمزنگاری‌شده در واتساپ از حساب رسمی محمد بن سلمان، ولیعهد عربستان سعودی، دریافت کرده است. ظاهراً این پیام حاوی فایلی مخرب بوده و باعث هک شدن گوشی جف بیزوس شده است. گزارشگران ویژه‌ی سازمان ملل متحد بعداً تأیید کردند که گوشی بیزوس ازطریق واتساپ هک شده است.

در سال ۲۰۲۱ ادعا شد مأموران FBI آمریکا می‌توانند «به‌صورت بلادرنگ» به داده‌های کاربران واتساپ دسترسی پیدا کنند. این ادعا در آن زمان جنجال زیادی به پا کرد. در اوایل سال جاری میلادی گفته شد یک حزب سیاسی در هند با استفاده از اپلیکیشنی به نام Tek Fog، حساب‌های کاربری غیرفعال واتساپ را به‌صورت انبوه هک کرده و برای مخاطبان آن‌ها پیام فرستاده است. در آن زمان مجله‌ی معتبر وایر گفت فردی که به Tek Fog دسترسی داشته، توانسته است در جلوی چشم روزنامه‌نگاران این مجله یک حساب آزمایشی واتساپ را «در چند دقیقه» هک کند.

با وجود بهره‌مندی از سیستم‌های قدرتمند برای محافظت از اطلاعات کاربر، واتساپ هرگز از حواشی امنیتی در امان نبوده. در سال ۲۰۲۰ ادعا شد واتساپ به گوگل اجازه داده است به پیام‌های خصوصی کاربران دسترسی پیدا کند. این ادعا در پرونده‌ای که علیه گوگل در دادگاه باز شده بود مطرح شد. پرونده‌ی مذکور هنوز در جریان است و اطلاعات مبهمی درباره‌ی آن وجود دارد. مشخص نیست ادعای دسترسی گوگل به پیام‌های خصوصی به دور زدن سیستم رمزنگاری ارتباط دارد یا این‌که گوگل به فایل بکاپ رمزنگاری‌نشده دسترسی پیدا کرده است.

واتساپ در به‌روزرسانی اخیرش دو نقص امنیتی بزرگ را برطرف کرد که یکی از آن‌ها در وضعیت بحرانی بود. آسیب‌پذیری موردبحث از لحاظ تئوری به هکر امکان می‌داد تماس ویدیوییِ به‌خصوصی طراحی و ازطریق آن، کد مخرب روی گوشی هوشمند قربانی اجرا کند، کدهایی که احتمال داشت امکان شنود واتساپ را به هکر ارائه دهند.

این نخستین باری نیست که واتساپ با مشکل امنیتی مواجه می‌شود. پیش‌تر نقص امنیتی مشابهی در واتساپ پیدا شد که به هکر امکان می‌داد ازطریق تماس صوتی، جاسوس‌افزار روی گوشی نصب کند، حتی اگر کاربر تماس صوتی را پاسخ نمی‌داد. نکته‌ی عجیب‌تر این بود که جزئیات تماس از تاریخچه‌ی تماس گوشی پاک می‌شد تا هیچ اثری از آن باقی نماند. در همان سال هکرها با بهره‌گیری از آسیب‌پذیری دیگری، توانستند ازطریق یک تصویر GIF به داده‌های گوشی فرد گیرنده دسترسی پیدا کنند.

چه نتیجه‌ای می‌توان گرفت؟

به همان شیوه‌ای که بستن کمربند ایمنی، سالم ماندن شما در خودرو را تضمین نمی‌کند، امنیت ۱۰۰ درصدی مفهومی بی‌معنا در دنیای آنلاین است. واتساپ پراستفاده‌ترین پیام‌رسان دنیا است، اما لزوماً محبوب‌ترین پیام‌رسان به‌حساب نمی‌آید، چون سابقه‌ی خوبی در زمینه‌ی حفظ امنیت ندارد.

۵۸۵۸