گروه فناوری:در دنیای آنلاین «امنیت ۱۰۰ درصدی» مفهومی مضحک است و ادعای شنود واتساپ خیلیها را نگران میکند.پاول دورُف، مدیرعامل تلگرام، اواسط مهر در ادعایی نگرانکننده گفت واتساپ سرویسی ناامن است و هکرها میتوانند به اطلاعات گوشی کاربران این پیامرسان دسترسی پیدا کنند. مدیرعامل تلگرام همچنین مدعی شد واتساپ بیش از ۱۳ سال است که «ابزاری نظارتی» محسوب میشود.
با وجود تکذیب این گفتهها توسط مدیرعامل واتساپ، همچنان بسیاری از کاربران نگران امنیت این پیامرسان هستند و حتی به دیلیت اکانت واتساپ فکر میکنند.واتساپ در سال ۲۰۱۴ به زیرمجموعهای از شرکت متا (فیسبوک سابق) تبدیل شد. در آن زمان متا به واتساپ بهعنوان رقیب اصلی سرویسهای خودش نگاه میکرد و در حرکتی بحثبرانگیز با ۱۹ میلیارد دلار واتساپ را تصاحب کرد. این اقدام متا تا سالها بعد تحت نظارت نهادهای رگولاتوری بود، اما در نهایت این نهادها نتوانستند واتساپ را از متا جدا کنند.متا سابقهی خوبی در زمینهی حریم خصوصی ندارد و فاجعهای که این شرکت با کمبریج آنالیتیکا به بار آورد هرگز از ذهن کاربران پاک نمیشود. سابقهی بد متا در حوزهی حریم خصوصی باعث شده است خیلیها ادعای شنود واتساپ را باور کنند.
آیا واتساپ امن است؟
واتساپ میگوید سرویسش را بر پایهی سیستم رمزنگاری سرتاسری (End-to-End Encryption) طراحی کرده است تا پیامهای کاربران بهصورت پیشفرض تحت حفاظت باشد و به جز کسانی که پیام در بین آنها مبادله شده است، هیچ فرد یا نهاد دیگری نتواند محتوای پیامها را ببیند، حتی خودِ واتساپ. مدیران این پیامرسان ادعای شنود واتساپ را با اشاره به بهرهمندی از سیستم رمزنگاری سرتاسری تکذیب میکنند: «آنچه به اشتراک میگذارید کاملاً تحت کنترل شما است.»
واتساپ اهمیت زیادی به رمزنگاری سرتاسری میدهد و در بخش آغازین تمامی صفحات چت با متنی به رنگ طلایی، این موضوع را به کاربر یادآوری میکند. واتساپ میگوید که اعتقاد دارد پیامهای کاربران متعلقبه خودشان است، به همین دلیل پیامها بهصورت محلی در داخل گوشی ذخیره میشوند و واتساپ محتویات آنها را برای شرکتهای تبلیغاتی به نمایش نمیگذارد. حداقل این ادعایی است که توسط خود واتساپ مطرح شده است.
بررسیها نشان میدهد پیامهای واتساپ با استفاده از پروتکل سیگنال و تماسهای واتساپ بر پایهی SRTP رمزنگاری میشوند. واتساپ همچنین میگوید تمامی ارتباطات بین کاربر و سرور «در داخل یک کانال رمزنگاریشدهی مجزا، لایهبندی میشود.» پروتکل سیگنال که برای پیامهای واتساپ استفاده میشود نوعی پروتکل متنباز و تحت مجوز GPLv۳ است.
رمزنگاری سرتاسری کلیدواژهای است که واتساپ برای تأکید بر حفظ حریم خصوصی به کار میگیرد و بر همین اساس میگوید ادعاهای شنود واتساپ حقیقت ندارد. رمزنگاری سرتاسری راهکاری برای ایمن کردن پیامها است. اساس این سیستم، همان چیزی است که واتساپ ادعا میکند: صرفاً فردی میتواند پیام را بخواند که یک طرف ارتباط باشد و هیچ شخص سومی حتی شرکت ارائهدهندهی سرویس پیامرسان (در اینجا واتساپ) نمیتواند به کلیدهای موردنیاز برای رمزگشایی مکالمه دسترسی پیدا کند.
به ادعای کارشناسان حوزهی امنیت، وقتی از سیستم رمزنگاری سرتاسری بهره بگیرید هیچ هکری توانایی دستکاری ارتباطات را ندارد. واتساپ اولین پیامرسان مجهز به رمزنگاری سرتاسری نیست، اما یکی از مهمترینها بهحساب میآید، چون کاربران پرتعدادی دارد، کاربرانی که شدیداً نگران شنود واتساپ هستند و میخواهند بدانند که آیا واقعاً کسی میتواند واتساپ را شنود کند؟
در سالهای نهچندان دور شایعهی عجیبی بین مردم دستبهدست میشد. برخی از افراد اعتقاد داشتند وقتی در واتساپ پیام تیک آبی میخورد، بدین معنی است که آن پیام توسط ادمینهای واتساپ مشاهده شده است. این افراد تیک آبی را دلیلی برای اثبات شنود واتساپ قلمداد میکردند. اما همانطورکه میدانید تیک آبی به معنی دیده شدن پیام توسط طرف مقابل است.
با همهی اینها، حقیقت مهمی را فراموش نکنید: در دنیای اینترنت مفهومی تحت عنوان امنیت ۱۰۰ درصدی معنا ندارد. تمامی تلاش متخصصان این است که سیستمهای امروز ایمنتر از دیروز باشند، اما در بهترین حالت هم نمیتوان امنیت کامل را تضمین کرد. با این اوصاف، حتی رمزنگاری سرتاسری نیز لزوماً از استراق سمع در امان نیست.
در اوایل سال ۲۰۲۲ ادعا شد استارتاپی به نام Boldend در زمانی نامشخص از سال ۲۰۱۷ به بعد، با اتکا بر یک آسیبپذیری امنیتی، ابزارهایی برای هک سیستم رمزنگاری واتساپ توسعه داده و به دادههای کاربران دسترسی پیدا کرده است. گزارشها میگویند واتساپ این آسیبپذیری امنیتی را در سال ۲۰۲۱ برطرف کرده است. نکتهی جالب این است که بخشی از سرمایهی استارتاپ Boldend توسط یکی از سرشناسترین سهامداران فیسبوک تأمین میشود.
در سال ۲۰۱۹ هکرها جاسوسافزار روی گوشی کاربران واتساپ نصب کردند و از همین طریق سراغ حملهی سایبری به واتساپ رفتند. این عملیات سایبری ازطریق نقصی امنیتی در سیستم تماس صوتی واتساپ، بدافزار به گوشی کاربران تزریق کرد. چند ماه بعد، واتساپ گفت NSO Group مسئول این حملهی سایبری بوده و به همین دلیل از این شرکت پرحاشیه در دادگاه شکایت کرد. واتساپ گفت حملهی سایبری مورد اشاره، قوانین ایالات متحده را نقض کرده است. گفته میشود در این حملهی سایبری حداقل ۱۰۰ مدافع حقوق بشر، روزنامهنگار و دیگر اعضای جامعهی مدنی مورد هدف قرار گرفتهاند. مجموعا ۱٬۴۰۰ نفر در ۲۰ کشور دنیا از این حمله متأثر شدند.
در اوایل سال ۲۰۲۰ ادعا شد جف بیزوس، بنیانگذار آمازون و از سرشناسترین میلیاردهای صنعت فناوری، پیامی رمزنگاریشده در واتساپ از حساب رسمی محمد بن سلمان، ولیعهد عربستان سعودی، دریافت کرده است. ظاهراً این پیام حاوی فایلی مخرب بوده و باعث هک شدن گوشی جف بیزوس شده است. گزارشگران ویژهی سازمان ملل متحد بعداً تأیید کردند که گوشی بیزوس ازطریق واتساپ هک شده است.
در سال ۲۰۲۱ ادعا شد مأموران FBI آمریکا میتوانند «بهصورت بلادرنگ» به دادههای کاربران واتساپ دسترسی پیدا کنند. این ادعا در آن زمان جنجال زیادی به پا کرد. در اوایل سال جاری میلادی گفته شد یک حزب سیاسی در هند با استفاده از اپلیکیشنی به نام Tek Fog، حسابهای کاربری غیرفعال واتساپ را بهصورت انبوه هک کرده و برای مخاطبان آنها پیام فرستاده است. در آن زمان مجلهی معتبر وایر گفت فردی که به Tek Fog دسترسی داشته، توانسته است در جلوی چشم روزنامهنگاران این مجله یک حساب آزمایشی واتساپ را «در چند دقیقه» هک کند.
با وجود بهرهمندی از سیستمهای قدرتمند برای محافظت از اطلاعات کاربر، واتساپ هرگز از حواشی امنیتی در امان نبوده. در سال ۲۰۲۰ ادعا شد واتساپ به گوگل اجازه داده است به پیامهای خصوصی کاربران دسترسی پیدا کند. این ادعا در پروندهای که علیه گوگل در دادگاه باز شده بود مطرح شد. پروندهی مذکور هنوز در جریان است و اطلاعات مبهمی دربارهی آن وجود دارد. مشخص نیست ادعای دسترسی گوگل به پیامهای خصوصی به دور زدن سیستم رمزنگاری ارتباط دارد یا اینکه گوگل به فایل بکاپ رمزنگارینشده دسترسی پیدا کرده است.
واتساپ در بهروزرسانی اخیرش دو نقص امنیتی بزرگ را برطرف کرد که یکی از آنها در وضعیت بحرانی بود. آسیبپذیری موردبحث از لحاظ تئوری به هکر امکان میداد تماس ویدیوییِ بهخصوصی طراحی و ازطریق آن، کد مخرب روی گوشی هوشمند قربانی اجرا کند، کدهایی که احتمال داشت امکان شنود واتساپ را به هکر ارائه دهند.
این نخستین باری نیست که واتساپ با مشکل امنیتی مواجه میشود. پیشتر نقص امنیتی مشابهی در واتساپ پیدا شد که به هکر امکان میداد ازطریق تماس صوتی، جاسوسافزار روی گوشی نصب کند، حتی اگر کاربر تماس صوتی را پاسخ نمیداد. نکتهی عجیبتر این بود که جزئیات تماس از تاریخچهی تماس گوشی پاک میشد تا هیچ اثری از آن باقی نماند. در همان سال هکرها با بهرهگیری از آسیبپذیری دیگری، توانستند ازطریق یک تصویر GIF به دادههای گوشی فرد گیرنده دسترسی پیدا کنند.
چه نتیجهای میتوان گرفت؟
به همان شیوهای که بستن کمربند ایمنی، سالم ماندن شما در خودرو را تضمین نمیکند، امنیت ۱۰۰ درصدی مفهومی بیمعنا در دنیای آنلاین است. واتساپ پراستفادهترین پیامرسان دنیا است، اما لزوماً محبوبترین پیامرسان بهحساب نمیآید، چون سابقهی خوبی در زمینهی حفظ امنیت ندارد.