گروه IT: متخصصان امنیت سایبری از وجود حفرهای امنیتی در سرویس واتساپ خبر دادهاند که آژانسهای امنیتی دولتی و حتی خود فیسبوک را بهعنوان کمپانی مادر واتساپ قادر میکند تا پیامهای ارسالی بهظاهر رمزگذاری شده را شنود کنند، بدون اینکه کاربر اطلاعی از این موضوع داشته باشد.
به گزارش
بولتن نیوز،فیسبوک مدعی است که نمیتوان بههیچوجه پیامهای کدگذاری شده رد و بدل شده در سرویس واتساپ را شنود کرد. بر اساس اطلاعات ارائهشده توسط فیسبوک، جاسوسی پیامهای کدگذاری شده حتی توسط کارکنان این کمپانی نیز قابل انجام نیست؛ اما یک تحقیق جدید نشان از این دارد که این کمپانی بهراحتی قادر است پیامهای کدگذاری شده بهصورت دوطرفه (end-to-end Encryption) را شنود کند.
متخصصان امنیتی وجود یک حفرهی امنیتی را خطری بزرگ برای آزادی بیان خواندهاند؛ چراکه به اعتقاد این افراد، آژانسهای دولتی نیز میتوانند با استفاده از این رخنهی امنیتی پیامهای کاربرانی را که با تصور امن بودن اقدام به ارسال آنها میکنند، جاسوسی و از آن سوءاستفاده کنند.
امنیت را باید اصلیترین نقطهی قوت واتساپ خواند که از اینرو مورد استفادهی بسیاری از کاربرانِ حساس به حفظ حریم خصوصی قرار گرفته است.
بر اساس اطلاعات ارائهشده توسط گاردین، یک حملهی هکری پیشرفته و پیچیده به سرورهای واتساپ، میتواند رمزگذاری پیامهای این سرویس را بیاثر کند. در صورتی که هکر مورد نظر بتواند به سرورهای واتساپ دسترسی پیدا کند؛ قادر است با عوض کردن کلیدهای رمزنگاریشده، خود را بهعنوان یک گیرندهی دیگر پیام قرار دهد، بهطوریکه این هکر قادر خواهد بود بهعنوان نفر سوم در وسط یک ارتباط امن قرار بگیرد و پیامهای رد و بدل شده را بدون اطلاع کاربرانی که با فرض کارکرد صحیح رمزنگاری در حال گفتگو هستند، شنود کند. در این بین، گیرندهی پیام بههیچوجه از تغییرات اعمالشده مطلع نخواهد بود، حال آنکه ارسالکنندهی پیام در صورت فعال کردن Show Security Notifications در قسمت تنظیمات، اخطاری دریافت خواهد کرد.
این روزنهی امنیتی توسط توبیاس بوِلتر، رمزنگار و محقق امنیتی در دانشگاه برکلی کالیفرنیا کشف شده است. وی در این خصوص میگوید:
در صورتی که آژانسهای امنیتی از واتساپ بخواهند دسترسی به شنود اطلاعات را در اختیار آنها قرار دهد، این پیامرسان قادر است با استفاده از این رخنهی امنیتی اقدام به این کار کند.
البته باید به این نکته اشاره کرد که این روزنهی امنیتی از پروتکل موسوم به Signal که در واتساپ برای رمزنگاری مورد استفاده قرار گرفته است، ناشی نمیشود. اپلیکیشن پیامرسان گروه نرمافزاری Open Whisper Systems که سیگنال نام دارد و توسط ادوارد اسنودن نیز پیشنهاد شده است، به دلیل بهرهگیری از پروتکلی به همین نام، از این مشکل رنج نمیبرد. در این پیامرسان، در صورتی که گیرنده کلید مورد استفاده برای رمزگشایی را در زمان آفلاین بودن تغییر دهد، ارسال پیام با شکست روبرو خواهد شد. در این شرایط، فرستندهی مطلب نیز از تغییر کلید مورد استفاده توسط گیرنده مطلع میشود و پیام بهصورت خودکار دوباره ارسال نمیشود. واتساپ پیامهای ارسال نشده را بدون اطلاع فرستنده، حتی در صورت تغییر کلید گیرنده بهصورت خودکار از نو ارسال میکند.
بوِلتر اعلام کرده است که وجود این مشکل امنیتی را در ماه آوریل ۲۰۱۶ به اطلاع فیسبوک رسانده، اما این کمپانی اقدامی در راستای برطرف کردن آن انجام نداده است. گاردین در تأیید ادعای بوِلتر، وجود این روزنهی امنیتی را تأیید میکند.
سخنگوی واتساپ در واکنش به اخبار منتشرشده، به گاردین گفته است که بیش از یک میلیارد نفر در سراسر جهان از سرویس واتساپ استفاده میکنند، چراکه واتساپ سرویسی امن و قابل اعتماد است. وی به این نکته اشاره کرده که در پیادهسازی پروتکل Signal توسط واتساپ، گزینهی Show Security Notofocations در قسمت Security تنظیمات قرار داده شده است تا از این طریق، کاربران با فعال کردن آن در صورت عوض شدن کلید مورد استفاده توسط گیرنده، مطلع شوند. تعویض کلید به دلایل متعددی اتفاق میافتد که از جملهی آن میتوان به تعویض گوشی هوشمند یا سیمکارت مورد استفاده اشاره کرد. به گفتهی واتساپ، این پیامرسان نمیخواهد در چنین شرایطی پیامهای ارسالی در بین راه گم شوند و به دست گیرنده نرسند.
واتساپ به اخبار مطرحشده در رابطه با ایجاد یک Backdoor برای دسترسی آژانسهای دولتی به پیامهای رد و بدل شده نیز واکنش نشان داده و اعلام کرده است که این کمپانی هیچگاه این امکان را برای سرویسهای اطلاعاتی فراهم نکرده و علیه چنین درخواستهایی نیز مبارزه میکند.
پاول دوروف، مدیرعامل و بنیانگذار تلگرام در واکنش به روزنهی موجود در واتساپ، کارشناسان امنیتی را خطاب قرار داده و آنها را به دلیل تحسین واتساپ به دلیل بهکارگیری امنترین روش ارسال پیام به باد انتقاد گرفته است. وی واتساپ را یک سرویس در خدمت دولتمردان آمریکا خوانده است.
نگرانیهای امنیتی در مورد واتساپ پس از تصاحب این کمپانی توسط فیسبوک بسیار افزایش یافته است. فیسبوک در سال ۲۰۱۵ اعلام کرد که اطلاعات حسابهای کاربری فیسبوک و واتساپ را در راستای اهداف توسعه و تبلیغاتی یکی میکند تا از این طریق بتواند به شماره تلفنهای کاربران نیز دسترسی داشته باشد، اما بزرگترین شبکهی اجتماعی جهان در نوامبر همان سال برنامهی ادغام اطلاعات حسابهای کاربری را در اثر انتقادات و فشارهای واردشده متوقف کرد.