متخصصان امنیت و حریم خصوصی از کشف ضعفی در اپلیکیشن واتساپ خبر دادهاند که امکان نفوذ به پیامهای رمزگذاریشده را فراهم میکند. متخصصان هشدار میدهند که چنین حفرهای میتواند جاسوسی دولتها از کاربران را تسهیل کند.
یکی از ویژگیهای مهم اپلیکیشنهای پیامرسان امروز، رمزگذاری ته به ته (end-to-end) پیامها در آنهاست که به کاربران اطمینان میدهد امکان نفوذ، جاسوسی و خواندن پیامهای آنها توسط دیگران، از جمله سازندگان این سرویسها یا هکرها و سرویسهای اطلاعاتی و دولتها ناممکن خواهد بود. حالا متخصصان حفرهای در واتساپ یافتهاند که نشان میدهد این اپلیکیشن محبوب، ضعف امنیتی جدی دارد و ممکن است دادههای خصوصی شهروندان در آن قابل رویت و ردیابی باشد.
روزنامه گاردین در گزارشی اختصاصی نوشته «ادعاهای فیسبوک، کمپانی مالک واتساپ، مبنی بر اینکه نفوذ به پیامهای کاربران در این اپلیکیشن حتی برای این کمپانی و کارمندانش هم ناممکن است» نادرست است و تا کنون به بیش از یک میلیارد کاربر واتساپ آدرس اشتباه دادهاند. ضعف از پروتکل رمزگذاری واتساپ است که به گفته متخصصان امنیت میتواند «تهدیدی عظیم برای آزادی بیان» باشد.
تحلیلگران امنیت در گفتوگو با گاردین گفتهاند که واتساپ، امنیت و رمزگذاری سراسری خود را به عنوان مهمترین ویژگی این اپلیکیشن مطرح کرده و به همین خاطر بسیاری از اکتیویستها، کنشگران سیاسی، روزنامهنگاران و دیپلماتها برای در امان ماندن از جاسوسی و تهدیدهای جاری سایبری به آن پناه بردهاند، اما حالا با کشف این «در پشتی (backdoor) شاید وقت تجدید نظر رسیده باشد.
بیشتر بخوانیم: کشف نرمافزار جاسوسی چینی روی صدها میلیون گوشی
واتساپ برای رمزگذاری از پروتکلی به نام «سیگنال» بهره میگیرد که امکان نفوذ به پیامها از سوی کسی را که در میانه فرستنده و گیرنده قرار گرفته، از بین میبرد. اما حالا کشف شده که واتساپ میتواند با اعمال کلیدهای رمزگذاری دیگری برای کاربران آفلاین، که هم برای فرستنده و هم گیرنده ناشناختهاند، فرستنده را وادار به ارسال مجدد و در نتیجه رمزگذاری مجدد همه پیامهایی کند که ارسالشان با موفقیت انجام نشده است. با این تکنیک امکان رویت پیامها و نظارت بر آنها دستکم برای سازندگان واتساپ (و کمپانی مالک آن فیسبوک) میسر خواهد بود.
این تغییرات در رمزگذاری به اطلاع گیرنده نمیرسد و فرستنده هم تنها در صورتی پی به موضوع خواهد برد که در تنظیمات «هشدارهای رمزگذاری» این امکان را فعال کرده باشد. حتی این هم پس از ارسال مجدد پیامها انجام خواهد شد؛ یعنی زمانی که جاسوسی بهطور بالقوه انجام شده است.
کاشف این «در پشتی» توبیاس بولتر، پژوهشگر امنیت و متخصص رمزگذاری در دانشگاه کالیفرنیاست که به گاردین میگوید: «اگر یک سازمان دولتی از واتساپ بخواهد که پیشینه پیامهای کاربری را در اختیارشان بگذارد، واتساپ به خاطر ایجاد همین تغییرات در کلیدهای رمزگذاری عملا میتواند چنین کاری انجام دهد.»
بیشتر بخوانیم: چگونگی کشف جاسوسافزارهای اندرویدی و خلاصی از شر آنها!
این ضعف امنیتی کشفشده، ربطی به پروتکل رمزگذاری سیگنال ندارد. طراحان این پروتکل اپلیکیشنی را هم به همین نام «سیگنال» طراحی کردهاند که بر خلاف واتساپ ضعف امنیتی ندارد. از آنجایی که ادوارد اسنودن، افشاگری که خبرهای تحولسازی از دنیای جاسوسی برای شهروندان آورده هم اپلیکیشن سیگنال را برای پیامرسانی آنلاین پیشنهاد کرده، شاید وقت کوچ از واتساپ به سیگنال فرا رسیده باشد.
توبیاس بولتر این ضعف امنیتی واتساپ را در ماه آوریل ۲۰۱۶ به اطلاع فیسبوک رساند و فیسبوک در واکنش گفت که از موضوع آگاه است. از آن زمان تا کنون هیچ تلاشی برای رفع این آسیبپذیری امنیتی انجام نشده است.
پروفسور کریستی بیل، بنیانگذار مرکز تحقیقات حریم خصوصی و جاسوسی، میگوید: «چنین ضعفی در امنیت واتساپ، معدن طلایی برای آژانسهای اطلاعاتی و امنیتی است و البته خیانتی است به اعتماد کاربران و تهدیدی جدی علیه آزادی بیان.»
واتساپ در سال ۲۰۱۴ به بهای ۲۲ میلیارد دلار توسط فیسبوک خریداری شد و از اوت ۲۰۱۵ فیسبوک اعلام کرد که سیاستهای مرتبط با حریم خصوصی در این اپلیکیشن را تغییر داده تا بتواند دادههای کاربران واتساپ و فیسبوک را با هدف سودآوری بیشتر از راه تبلیغات، ادغام کند.