باید نگران حفره امنیتی در واتس‌اپ بود؟

محبوبیت برنامه‌ها‌ی پیام‌رسان و جابجا شدن حجم زیادی از اطلاعات در هر کدام از آنها هم برای هکرها و هم برای دولت‌هایی که تمایل دارند بر آنها نظارت داشته باشند موضوع را پیچیده و در عین حال جذاب می‌کند.

واتس‌اپ یکی از محبوب‌ترین برنامه‌های پیام‌رسان در جهان است که در سال گذشته به رقم یک میلیارد کاربر فعال رسید. این پیام‌رسان با اینکه پیام‌های خود را به صورت رمزگذاری شده (end-to-end) برنامه‌ریزی کرده اما اکنون با مشکلات جدیدی روبرو شده است.

با اینکه فیس‌بوک به عنوان صاحب این برنامه وجود هرگونه حفره امنیتی که بتواند موجب خوانده شدن پیام‌های رمزگذاری شده شود را رد کرده، اما تحقیقات نشان از یک «در پشتی» (backdoor) در واتس‌اپ می‌دهد. فیس‌بوک مدعی‌ست سیستم رمزگذاری حتی توسط خود کمپانی و اعضای آن هم قابل خواندن نیست و به هیچ عنوان در مقابل خواست دولت‌ها برای ایجاد حفره‌ای که آنها بتوانند به پیام‌ها دسترسی داشته باشند کوتاه نیامده‌ است.

آیا باید نگران بود؟

برخی از فعالان این حوزه بر این باورند که چنین حفره‌ی امنیتی می‌تواند یک «تهدید بزرگ برای آزادی بیان» باشد و نسبت به دسترسی دولت‌ها به «در پشتی» واتس‌اپ هشدار داده‌اند.

رمزگذاری استفاده شده در واتس‌اپ با استفاده از کلیدهای امنیتی یکتا و به روی پلاتفرم سیگنال (Signal) تعریف شده و به این شکل خوانده نشدن متن میان فرستنده و گیرنده توسط دیگران را تضمین می‌کند. با این حال واتس‌اپ یک کلید را به صورت اجباری برای کاربران آفلاین تعریف کرده که بدون اطلاع فرستنده و گیرنده، تحویل پیام را گزارش می‌دهد. این رسید، تغییری در رمزگذاری ایجاد نمی‌کند اما زمانی که واتس‌اپ در جریان ارسال یک کلید اضافی را تعریف می‌کند، این امکان را به وجود می‌آورد که پیام پیش از حتی دریافت خوانده شود. این نکته مهم است که این تغییرات به اطلاع گیرنده نمی‌رسد و فرستنده هم تنها در صورتی که در بخش تنظیمات «امنیت» (این مسیر: Settings»Account»Security»Show Security Notifications) این درخواست را غیرفعال کرده باشد از این مرحله واسط به دور خواهد بود.

به گزارشی که گاردین در این مورد منتشر کرده است همین سیستم رمزگذاری در واتس‌اپ بود که سال گذشته مورد استقبال بسیاری از فعالان حوزه امنیت سایبری قرار گرفت و آنها را مجاب کرد تا در این سری از برنامه‌های پیام‌رسان این برنامه را با توجه به وسعت کاربران استفاده کنند.

توبیاس بولتر که در دانشگاه برکلی به عنوان پژوهشگر امنیت سایبری و متخصص رمزگذاری فعالیت می‌کند، این حفره امنیتی را کشف کرد. او به روزنامه گاردین گفت: «اگر واتس‌اپ در مقابل خواست دولت‌ها برای بازبینی پیام‌ها قرار گیرد، به دلیل همین کلید‌های رمزگذاری، امکان دسترسی به آنها را خواهد داشت». بولتر این آسیب‌پذیری را در ماه آوریل گذشته به اطلاع فیس‌بوک رساند اما به گفته او فیس‌بوک به عنوان «رفتاری قابل انتظار» به آن برخورد کرده و هیچ اقدامی برای رفع آن انجام نداده است. این بدان معنی‌ است که فیس‌بوک به عنوان صاحب اصلی واتس‌اپ از وجود چنین حفره‌ی امنیتی با خبر بوده و آن را به صورت برنامه‌ریزی شده در مسیر جابجایی پیام‌ها قرار داده است. این ادعا که فیس‌بوک تا امروز در مقابل خواست دولت‌ها برای دسترسی به سابقه پیام‌ها کوتاه نیامده است با اینکه این امکان به هر نحوی برای آنها وجود دارد، به نوعی امنیت کاربران را زیر سوال می‌برد.

چرا این حفره ایجاد شده است؟

فرآیند کدگذاری در واتس‌اپ به این شکل است که هر کاربر یک کد (کلید) عمومی دارد که در اختیار همگان قرار می‌گیرد و یک کد خصوصی هم دارد که تنها به روی دستگاه او ذخیره می‌شود. در صورتی که شما گوشی خود را عوض کنید یا به هر دلیلی برنامه را پاک و مجددا اجرا کنید امکان از بین رفتن تمام پیام‌های قبلی شما وجود دارد. به همین دلیل نیز واتس‌اپ برای بالا بردن امنیت کاربران خود زمانی که این کد مجددا فعال می‌شود به طرف‌های گیرنده پیام یک گزارش ارسال می‌کند که فرستنده کلید خصوصی خود را تغییر داده است.

به گزارش روزنامه گاردین و بنا به پژوهش توبیاس بولتر، سرور واتس‌اپ می‌تواند برای یکی از طرفین کد جدیدی را تولید کند اما آن سوی دیگر از این موضوع مطلع نشود.

چه باید کرد؟

شرکت Open Whisper Systems با واتس‌اپ در پیاده‌سازی الگوریتم رمزگذاری پیام‌ها همکاری داشته است. شرکتی که پیام‌رسان «سیگنال» نیز از تولیدات آن است اما باید گفت آسیب‌پذیری اخیر در واتس‌اپ ربطی به پلاتفورم اولیه آن یعنی «سیگنال» ندارد. برنامه‌ی «سیگنال» پیش از این توسط ادوارد اسنودن نیز به کاربران توصیه شده بود و از بسیاری مشکلات رایج در برنامه‌های مشابه در امان است.

ولی اگر همچنان اصرار دارید که از واتس‌اپ استفاده کنید حتما تنظیمات امنیتی خود را کنترل کنید و همیشه به  کدهای امنیتی دریافتی از کسانی که برای شما پیام می‌فرستند توجه داشته باشید.

اما اگر به دنبال برنامه‌هایی هستید که تا امروز امنیت کاربران خود را در هر شرایطی تضمین کرده‌اند این دو برنامه را به شما پیشنهاد می‌کنیم:

Signal – iOS / Android

Wire – iOS / Android

با اینکه این دو برنامه مانند واتس‌اپ و برنامه‌های مشابه از زیبایی‌های ظاهری برخوردار نیستند اما به اطمینان می‌توان گفت که زیبایی امنیتی آنها، استفاده کردن از این برنامه‌ها را برای شما جذاب‌تر می‌کند.

*منبع: گاردین
ترجمه و تنظیم: کامیار بهرنگ