کشف «در پشتی» واتس‌اپ: راه نفوذ به پیام‌های شما باز است

یکی از ویژگی‌های مهم اپلیکیشن‌های پیام‌رسان امروز، رمزگذاری ته به ته (end-to-end) پیام‌ها در آنهاست که به کاربران اطمینان می‌دهد امکان نفوذ، جاسوسی و خواندن پیام‌های آنها توسط دیگران، از جمله سازندگان این سرویس‌ها یا هکرها و سرویس‌های اطلاعاتی و دولت‌ها ناممکن خواهد بود. حالا متخصصان حفره‌ای در واتس‌اپ یافته‌اند که نشان می‌دهد این اپلیکیشن محبوب، ضعف امنیتی جدی دارد و ممکن است داده‌های خصوصی شهروندان در آن قابل رویت و ردیابی باشد.

روزنامه گاردین در گزارشی اختصاصی نوشته «ادعاهای فیس‌بوک، کمپانی مالک واتس‌اپ، مبنی بر این‌که نفوذ به پیام‌های کاربران در این اپلیکیشن حتی برای این کمپانی و کارمندانش هم ناممکن است» نادرست است و تا کنون به بیش از یک میلیارد کاربر واتس‌اپ آدرس اشتباه داده‌اند. ضعف از پروتکل رمزگذاری واتس‌اپ است که به گفته متخصصان امنیت می‌تواند «تهدیدی عظیم برای آزادی بیان» باشد.

تحلیلگران امنیت در گفت‌وگو با گاردین گفته‌اند که واتس‌اپ، امنیت و رمزگذاری سراسری خود را به عنوان مهم‌ترین ویژگی این اپلیکیشن مطرح کرده و به همین خاطر بسیاری از اکتیویست‌ها، کنشگران سیاسی، روزنامه‌نگاران و دیپلمات‌ها برای در امان ماندن از جاسوسی و تهدیدهای جاری سایبری به آن پناه برده‌اند، اما حالا با کشف این «در پشتی (backdoor) شاید وقت تجدید نظر رسیده باشد.

بیشتر بخوانید: واتس‌اپ حالا همه مکاتبات کاربرانش را رمزگذاری می‌کند

واتس‌اپ برای رمزگذاری از پروتکلی به نام «سیگنال» بهره می‌گیرد که امکان نفوذ به پیام‌ها از سوی کسی را که در میانه فرستنده و گیرنده قرار گرفته، از بین می‌برد. اما حالا کشف شده که واتس‌اپ می‌تواند با اعمال کلیدهای رمزگذاری دیگری برای کاربران آفلاین، که هم برای فرستنده و هم گیرنده ناشناخته‌اند، فرستنده را وادار به ارسال مجدد و در نتیجه رمزگذاری مجدد همه پیام‌هایی کند که ارسال‌شان با موفقیت انجام نشده است. با این تکنیک امکان رویت پیام‌ها و نظارت بر آنها دست‌کم برای سازندگان واتس‌اپ (و کمپانی مالک آن فیس‌بوک) میسر خواهد بود.

این تغییرات در رمزگذاری به اطلاع گیرنده نمی‌رسد و فرستنده هم تنها در صورتی پی به موضوع خواهد برد که در تنظیمات «هشدارهای رمزگذاری» این امکان را فعال کرده باشد. حتی این هم پس از ارسال مجدد پیام‌ها انجام خواهد شد؛ یعنی زمانی که جاسوسی به‌طور بالقوه انجام شده است.

کاشف این «در پشتی» توبیاس بولتر، پژوهشگر امنیت و متخصص رمزگذاری در دانشگاه کالیفرنیاست که به گاردین می‌گوید: «اگر یک سازمان دولتی از واتس‌اپ بخواهد که پیشینه پیام‌های کاربری را در اختیارشان بگذارد، واتس‌اپ به خاطر ایجاد همین تغییرات در کلیدهای رمزگذاری عملا می‌تواند چنین کاری انجام دهد.»

بیشتر بخوانید: شمشیر دولبه رمزگذاری پیام‌ها؛ دردسر داعش برای تلگرام

این ضعف امنیتی کشف‌شده، ربطی به پروتکل رمزگذاری سیگنال ندارد. طراحان این پروتکل اپلیکیشنی را هم به همین نام «سیگنال» طراحی کرده‌اند که بر خلاف واتس‌اپ ضعف امنیتی ندارد. از آنجایی که ادوارد اسنودن، افشاگری که خبرهای تحول‌سازی از دنیای جاسوسی برای شهروندان آورده هم اپلیکیشن سیگنال را برای پیام‌رسانی آنلاین پیشنهاد کرده، شاید وقت کوچ از واتس‌اپ به سیگنال فرا رسیده باشد.

توبیاس بولتر این ضعف امنیتی واتس‌اپ را در ماه آوریل ۲۰۱۶ به اطلاع فیس‌بوک رساند و فیس‌بوک در واکنش گفت که از موضوع آگاه است. از آن زمان تا کنون هیچ تلاشی برای رفع این آسیب‌پذیری امنیتی انجام نشده است.

پروفسور کریستی بیل، بنیان‌گذار مرکز تحقیقات حریم خصوصی و جاسوسی، می‌گوید: «چنین ضعفی در امنیت واتس‌اپ، معدن طلایی برای آژانس‌های اطلاعاتی و امنیتی است و البته خیانتی است به اعتماد کاربران و تهدیدی جدی علیه آزادی بیان.»‌

واتس‌اپ در سال ۲۰۱۴ به بهای ۲۲ میلیارد دلار توسط فیس‌بوک خریداری شد و از اوت ۲۰۱۵ فیس‌بوک اعلام کرد که سیاست‌های مرتبط با حریم خصوصی در این اپلیکیشن را تغییر داده تا بتواند داده‌های کاربران واتس‌اپ و فیس‌بوک را با هدف سودآوری بیشتر از راه تبلیغات، ادغام کند.