شنود واتساپ، ادعایی ترسناک؛ پراستفادهترین پیامرسان دنیا چقدر امنیت دارد؟
واتساپ بهعنوان یکی از محبوبترین سرویسهای پیامرسان در سراسر دنیا همواره در مرکز توجه بوده است. این پیامرسان که افزونبر امکان چت کردن و ارسال عکس و ویدیو و پیام صوتی، برقراری تماس را امکانپذیر میکند، پس از فیلتر شدن تلگرام در ایران، پراستفادهتر شد، ولی محبوبتر نه. آمار رسمی نشان میدهد بیش از دو میلیارد نفر در ۱۸۰ کشور دنیا مشغول استفاده از واتساپ هستند.
واتساپ در سال ۲۰۰۹ توسط دو کارمند سابق یاهو بنیانگذاری شد. یکی از بنیانگذاران واتساپ پس از تهیهی آیفون در اوایل سال ۲۰۰۹، متوجه شده بود که سرویسی مثل واتساپ بهلطف آیفون و فروشگاه آنلاین اپ استور پتانسیل زیادی برای دیده شدن دارد.
پس از شروعبهکار واتساپ، تعداد قابل توجهی از مردم به آن علاقه نشان دادند و پیامرسان موردبحث سریعاً به ۲۵۰ هزار کاربر فعال دست یافت. این موفقیت کافی بود تا بنیانگذاران واتساپ بتوانند با بودجهی ۲۵۰ هزار دلاری، تعداد زیادی از کارکنان سابق یاهو را که پیشتر با آنها کار کرده بودند، به تیم واتساپ ملحق کنند.
واتساپ بعداً برای اندروید نیز دردسترس قرار گرفت و در گذر زمان توانست محبوبتر شود. تا سال ۲۰۱۱، تعداد پیامهای ارسالی در روز به بیش از یک میلیارد رسید و تا اوایل سال ۲۰۱۳ واتساپ از ۲۰۰ میلیون کاربر فعال میزبانی میکرد. واتساپ امروزه جزو معدود اپلیکیشنهایی است که بیش از پنج میلیارد بار دانلود شده. این پیامرسان نهتنها در پلتفرمهای موبایلی قابل دسترس است، بلکه میتوان ازطریق وب و کامپیوتر نیز وارد حساب واتساپ شد.
رئیس پلیس فتای ایران سالها قبل ادعای شنود واتساپ را مطرح کرده بود
اکثر سرویسهایی که برقراری تماس صوتی یا ویدیویی را امکانپذیر میکنند، پولیاند؛ بااینحال تنها شرط استفاده از واتساپ، داشتن اینترنت است. این پیامرسان هزینهای به کاربر تحمیل نمیکند و پلتفرمی رایگان و باکیفیت است. با همهی اینها امنیت واتساپ همواره مورد بحث بوده، خصوصاً با حواشی جدیدی که مدیرعامل تلگرام برای این پیامرسان ایجاد کرده است.
پاول دورُف، مدیرعامل تلگرام، اواسط مهر در ادعایی نگرانکننده گفت واتساپ سرویسی ناامن است و هکرها میتوانند به اطلاعات گوشی کاربران این پیامرسان دسترسی پیدا کنند. مدیرعامل تلگرام همچنین مدعی شد واتساپ بیش از ۱۳ سال است که «ابزاری نظارتی» محسوب میشود.
دورف تنها کسی نیست که ادعای شنود واتساپ را مطرح کرده است. سالها پیش رئیس پلیس فتای ایران در اظهارنظری جنجالی گفته بود «پیامهای خصوصی در وایبر، واتساپ و... توسط پلیس فتا قابل کنترل است.» با وجود تکذیب این گفتهها توسط مدیرعامل واتساپ، همچنان بسیاری از کاربران نگران امنیت این پیامرسان هستند و حتی به دیلیت اکانت واتساپ فکر میکنند.
با در نظر گرفتن حواشی، این سؤال ایجاد میشود که آیا شنود واتساپ انجامشدنی است؟
پاسخ به یک سؤال مهم: آیا واتساپ شنود میشود؟
شنود واتساپ ادعایی ترسناک است. همهی ما با اطمینان از ایمن بودن واتساپ از این پیامرسان استفاده میکنیم و تمایلی نداریم پیامهایمان را فرد یا سازمان متفرقهای ببیند. اگر شنود واتساپ انجامشدنی باشد، این پیامرسانِ محبوبِ تحت مدیریت متا (شرکت مادر فیسبوک و اینستاگرام) خیانت بزرگی در حق کاربرانش کرده، چون مدیران واتساپ بارها مدعی شدهاند که پلتفرمی ایمن دردسترس کاربران قرار میدهند.
واتساپ کار خود را بهعنوان جایگزینی برای سیستم پیامرسانیِ SMS شروع کرد، اما امروزه ارسال و دریافت تنوع بالایی از محتوا را امکانپذیر میکند: از متن و عکس و ویدیو تا اسناد و حتی مکان (لوکیشن). واتساپ میگوید برای حریم خصوصی کاربرانش «اهمیت ویژهای قائل است» و به همین دلیل سیستمی امنیتی در این پیامرسان استفاده شده تا اطمینان حاصل شود که هیچکس توانایی شنود واتساپ را نداشته باشد.
هر پلتفرمی که تحت مالکیت متا (فیسبوک سابق) باشد، دررابطهبا حریم خصوصی نگرانمان میکند
واتساپ در سال ۲۰۱۴ به زیرمجموعهای از شرکت متا (فیسبوک سابق) تبدیل شد. در آن زمان متا به واتساپ بهعنوان رقیب اصلی سرویسهای خودش نگاه میکرد و در حرکتی بحثبرانگیز با ۱۹ میلیارد دلار واتساپ را تصاحب کرد. این اقدام متا تا سالها بعد تحت نظارت نهادهای رگولاتوری بود، اما در نهایت این نهادها نتوانستند واتساپ را از متا جدا کنند.
متا سابقهی خوبی در زمینهی حریم خصوصی ندارد و فاجعهای که این شرکت با کمبریج آنالیتیکا به بار آورد هرگز از ذهن کاربران پاک نمیشود. سابقهی بد متا در حوزهی حریم خصوصی باعث شده است خیلیها ادعای شنود واتساپ را باور کنند.
از طرفی واتساپ بهعنوان زیرمجموعهی متا، دادههای کاربران را دراختیار شرکت مارک زاکربرگ قرار میدهد. هر دو بنیانگذار واتساپ به دلیل همین نگرانیها از تیم این پیامرسان جدا شدند و بعدها انتقاداتی به سبک مدیریتی زاکربرگ وارد کردند.
واتساپ میگوید بخشی از دادههای کاربر را جمعآوری میکند و با متا به اشتراک میگذارد، اما این کار با هدف بهبود تجربهی پیامرسانی انجام میگیرد. واتساپ تا قبل از سال ۲۰۲۱ به کاربران اجازه میداد جلوی اشتراکگذاری دادههایشان با متا را بگیرند، اما در اقدامی بسیار جنجالی، این امکان را حذف کرد.
آیا واتساپ امن است؟
واتساپ مبتنیبر نسخهای سفارشی از پروتکل XMPP است و در فرایند نصب، از شماره تلفن کاربر برای ایجاد حساب استفاده میکند. واتساپ تمامی شماره تلفنهای موجود در فهرست مخاطبان را با دیتابیس داخلی خود مقایسه میکند تا بهصورت خودکار مخاطبان را به فهرست اضافه کند.
قبلا نسخهی اندرویدی واتساپ از نسخهی معکوس کد IMEI گوشی که توسط الگوریتم MD5 هش شده بود، بهعنوان رمز عبور استفاده میکرد. نسخهی iOS واتساپ بهجای کد IMEI به آدرس مک وایفای گوشی وابسته بود. از سال ۲۰۱۲ به بعد، واتساپ رمز عبوری تصادفی در سرور ایجاد میکند.
واتساپ از سال ۲۰۱۵ تاکنون قابلیت تماس صوتی ارائه میدهد. کدک صوتی واتساپ، Opus است که بر الگوریتمهای MDCT و LPC برای فشردهسازی محتوای صوتی اتکا میکند.
وقتی پیامی در واتساپ ارسال میکنید، آن پیام در ابتدا به سرورهای واتساپ که محل ذخیرهسازی است، میرود. سرور بهطور مکرر از دستگاه فرد گیرنده درخواست میکند که دریافت پیام را تأیید کند. پس از تأیید دریافت، پیام در گوشی فرد گیرنده قابل مشاهده میشود و واتساپ آن را از سرورهایش «حذف میکند». در صورت آنلاین نشدن فرد گیرنده، واتساپ پیامها را تا حداکثر ۳۰ روز در دیتابیس خود ذخیره میکند.
رمزنگاری سرتاسری کلیدواژهای است که واتساپ تأکید بهخصوصی روی آن دارد
واتساپ میگوید سرویسش را بر پایهی سیستم رمزنگاری سرتاسری (End-to-End Encryption) طراحی کرده است تا پیامهای کاربران بهصورت پیشفرض تحت حفاظت باشد و به جز کسانی که پیام در بین آنها مبادله شده است، هیچ فرد یا نهاد دیگری نتواند محتوای پیامها را ببیند، حتی خودِ واتساپ. مدیران این پیامرسان ادعای شنود واتساپ را با اشاره به بهرهمندی از سیستم رمزنگاری سرتاسری تکذیب میکنند: «آنچه به اشتراک میگذارید کاملاً تحت کنترل شما است.»
واتساپ اهمیت زیادی به رمزنگاری سرتاسری میدهد و در بخش آغازین تمامی صفحات چت با متنی به رنگ طلایی، این موضوع را به کاربر یادآوری میکند. واتساپ میگوید که اعتقاد دارد پیامهای کاربران متعلقبه خودشان است، به همین دلیل پیامها بهصورت محلی در داخل گوشی ذخیره میشوند و واتساپ محتویات آنها را برای شرکتهای تبلیغاتی به نمایش نمیگذارد. حداقل این ادعایی است که توسط خود واتساپ مطرح شده است.
بررسیها نشان میدهد پیامهای واتساپ با استفاده از پروتکل سیگنال و تماسهای واتساپ بر پایهی SRTP رمزنگاری میشوند. واتساپ همچنین میگوید تمامی ارتباطات بین کاربر و سرور «در داخل یک کانال رمزنگاریشدهی مجزا، لایهبندی میشود.» پروتکل سیگنال که برای پیامهای واتساپ استفاده میشود نوعی پروتکل متنباز و تحت مجوز GPLv3 است.
چگونه بفهمیم واتساپ کنترل میشود؟
بسیاری از کاربران به دفعات از خود میپرسند چگونه بفهمیم واتساپ کنترل میشود؟ برای فهمیدن پاسخ این سؤال، باید با سازوکار واتساپ آشنا باشید. سیستم امنیتی واتساپ صرفاً محدود به رمزنگاری سرتاسری نیست و این پیامرسان قابلیتهای دیگری نیز دارد تا از حفظ حریم خصوصی خود اطمینان حاصل کنید.
برای نمونه در واتساپ میتوان تصاویری ارسال کرد که فقط یک بار قابل دیدن باشند. بهعلاوه، میتوان گزینهای را فعال کرد تا پیامهای ارسالشده پس از مدتزمانی مشخص پاک شوند. با اضافه کردن احراز هویت دو عاملی، میتوانید حساب کاربری خود را امنتر کنید. همچنین ازطریق حسگر اثر انگشت یا سیستم تشخیص چهره، امکان قفل کردن اپلیکیشن واتساپ وجود دارد. پیامهایی که کاربر در سرورهای ابری نظیر آیکلاد یا گوگل درایو ذخیره میکند، بهصورت پیشفرض رمزنگاری میشوند.
رمزنگاری سرتاسری واتساپ چیست؟
رمزنگاری سرتاسری کلیدواژهای است که واتساپ برای تأکید بر حفظ حریم خصوصی به کار میگیرد و بر همین اساس میگوید ادعاهای شنود واتساپ حقیقت ندارد. رمزنگاری سرتاسری راهکاری برای ایمن کردن پیامها است. اساس این سیستم، همان چیزی است که واتساپ ادعا میکند: صرفاً فردی میتواند پیام را بخواند که یک طرف ارتباط باشد و هیچ شخص سومی حتی شرکت ارائهدهندهی سرویس پیامرسان (در اینجا واتساپ) نمیتواند به کلیدهای موردنیاز برای رمزگشایی مکالمه دسترسی پیدا کند.
نمونهای از یک پیام رمزنگاریشده؛ اگر کسی بهدنبال مشاهدهی پیام «زومیت امنیت پیامرسان واتساپ را بررسی میکند» باشد، با نسخهی رمزنگاریشدهی آن مواجه میشود، نسخهای که امکان رمزگشایی آن وجود ندارد
به ادعای کارشناسان حوزهی امنیت، وقتی از سیستم رمزنگاری سرتاسری بهره بگیرید هیچ هکری توانایی دستکاری ارتباطات را ندارد. واتساپ اولین پیامرسان مجهز به رمزنگاری سرتاسری نیست، اما یکی از مهمترینها بهحساب میآید، چون کاربران پرتعدادی دارد، کاربرانی که شدیداً نگران شنود واتساپ هستند و میخواهند بدانند که آیا واقعاً کسی میتواند واتساپ را شنود کند؟
در سیستم رمزنگاری سرتاسری پیامها بهگونهای درهم میآمیزند که صرفاً فرد فرستنده یا فرد گیرنده امکان رمزگشایی پیام و مشاهدهی محتویات آن را داشته باشد. این سیستم همانطورکه از نامش پیدا است (End-to-End) در دو طرف پیام را رمزنگاری میکند. پیام روی دستگاه فرستنده رمزنگاری میشود، به حالت ناخوانا درمیآید و در نهایت فرد گیرنده پیامِ ناخوانا را رمزگشایی میکند.
ارائهی سیستم رمزنگاری سرتاسری به روشهای مختلفی انجام میگیرد، بااینحال در حالت کلی روی دستگاه دو کلید رمزنگاری ریاضی تولید میشود: یک کلید خصوصی و یک کلید عمومی (این کلیدها برای بقیه قابل رمزگشایی نیستند). میتوانید به هر فردی که بهدنبال رمزنگاری پیام با شما باشد، کلید عمومی را بدهید؛ بااینحال کلید خصوصی مخصوص رمزگشایی پیامهایی است که شما ارسال کردهاید. کلید خصوصی دستگاه شما را ترک نمیکند.
آیا کسی میتواند واتساپ را شنود کند؟
در سالهای نهچندان دور شایعهی عجیبی بین مردم دستبهدست میشد. برخی از افراد اعتقاد داشتند وقتی در واتساپ پیام تیک آبی میخورد، بدین معنی است که آن پیام توسط ادمینهای واتساپ مشاهده شده است. این افراد تیک آبی را دلیلی برای اثبات شنود واتساپ قلمداد میکردند. اما همانطورکه میدانید تیک آبی به معنی دیده شدن پیام توسط طرف مقابل است.
متخصصان، امنیت را به یک زنجیرهی طویل تشبیه میکنند که تمامی بخشهای آن نیاز به تقویت شدن دارد. افراد سودجو معمولاً در حملات سایبری سراغ ضعیفترین بخشهای سیستمها میروند، چون کارشان برای نفوذ به سیستم و دسترسی به دادههای حیاتی سادهتر است. از طرفی سرورها آسیبپذیرترند و درنتیجه، روش هکرها معمولاً متمرکز بر دسترسی به سرورها است. رمزنگاری سرتاسری دادههای ذخیرهشده را تحت حفاظت خود قرار میدهد. هدف این سیستم، ایمن کردن دادهها در مسیر انتقال (شامل سرور) است، بنابراین با ایمنترین نوع رمزنگاری طرفیم.
امنیت زنجیرهای طویل است و تمامی بخشهای آن نیاز به تقویت شدن دارد
با همهی اینها، حقیقت مهمی را فراموش نکنید: در دنیای اینترنت مفهومی تحت عنوان امنیت ۱۰۰ درصدی معنا ندارد. تمامی تلاش متخصصان این است که سیستمهای امروز ایمنتر از دیروز باشند، اما در بهترین حالت هم نمیتوان امنیت کامل را تضمین کرد. با این اوصاف، حتی رمزنگاری سرتاسری نیز لزوماً از استراق سمع در امان نیست.
در روشی خلاقانه، هکر میتواند به جای تلاش برای شکستن سیستم رمزنگاری، خود را بهجای گیرندهی پیام جا بزند. با این کار، پیامها برای هکر ارسال میشود. پس از رمزگشایی پیام، هکر برای جلوگیری از افشای اقداماتش، میتواند پیام دریافتی را مجدداً رمزنگاری کند و آن را برای گیرندهی اصلی بفرستد (این راهکار اساساً مبتنیبر روش حملهی مرد میانی است).
البته طراحان سیستمهای امنیتی بهخوبی از راهکارهایی که هکرها ممکن است استفاده کنند، آگاهاند. در همین راستا برخی سیستمهای رمزنگاری سرتاسری، رشتههای یکزمانه و منحصربهفردی از کاراکترها را براساس دو کلید عمومی کاربر تولید میکنند. دو طرف ارتباط میتوانند قبل از شروع مکالمه، کلمهی عبور را برای یکدیگر قرائت کنند. اگر کاراکترها منطبق باشند، اطمینان پیدا میکنند استراقسمعی در کار نیست.
با در نظر گرفتن تمامی جوانب امنیتی، بازهم دو انتهای مکالمه، نقاطی آسیبپذیر در سیستم رمزنگاری به حساب میآیند: کامپیوتر هر کاربر را میتوان برای سرقت کلید رمزنگاری هک و به پیامها دسترسی پیدا کرد.
حتی با وجود رمزنگاریشدن فایلها و چتها، به هنگام ساختن حساب کاربری واتساپ از شما خواسته میشود که اطلاعات هویتی و ارتباطی خود را دردسترس این پیامرسان قرار دهید. بدین ترتیب اطلاعات شخصی شما همچنان درمعرض خطر است. این موضوعِ پر اهمیتی است، حتی اگر خطری که متوجه اطلاعات شخصی شما است، کمتر از خطر استفاده از پیامرسانهای رمزنگارینشده باشد. افزونبر این مورد، واتساپ مدتزمانی را که شما مشغول استفاده از پیامرسان هستید مورد بررسی قرار میدهد. این یعنی با وجود ایمن بودن دادهها، واتساپ همچنان اطلاعاتی دربارهی نحوهی استفاده از سرویسش توسط کاربران، جمعآوری میکند.
در سیستمهای عامل اندروید و iOS، واتساپ به شما امکان میدهد از پیامهای متنی و صوتی و تصاویر و ویدیوها نسخهی پشتیبان (بکاپ) تهیه کنید. تهیهی نسخهی پشتیبان اقدامی ضروری است، چون به شما امکان میدهد پیامهای مهمی را که ناخواسته حذف شدهاند بازیابی کنید. امکان ذخیرهی نسخهی پشتیبان پیامها در سرورهای ابری و در داخل خود گوشی وجود دارد. پیامهای رمزگشاییشده در گوشی، در این فایلهای بکاپ ذخیره میشوند.
تا پیش از سال ۲۰۲۱ فایل بکاپی که در آیکلاد یا گوگل درایو ذخیره میکردید، ایمن نبود، چون نسخهی رمزگشاییشدهی پیامهایی را که در واتساپ ارسال یا دریافت کرده بودید در خود داشت. بدین ترتیب در فایلهای بکاپ، خبری از سیستم رمزنگاری سرتاسری که واتساپ اهمیت زیادی به آن میدهد، نبود. این باعث میشد از لحاظ تئوری، شنود واتساپ امکانپذیر باشد.
واتساپ از سال ۲۰۲۱ فایلهای بکاپ را در سیستمهای عامل اندروید و iOS و همچنین سرورهای ابری رمزنگاری میکند. این قابلیت باید بهصورت دستی توسط کاربر فعال شود. در این حالت کاربر میتواند فایل بکاپ را با رمز عبور یا یک کلید ۶۴ رقمی، رمزنگاری کند.
نقصهای امنیتی پرتعداد تا حد زیادی به اعتبار واتساپ لطمه زدهاند
در اوایل سال ۲۰۲۲ ادعا شد استارتاپی به نام Boldend در زمانی نامشخص از سال ۲۰۱۷ به بعد، با اتکا بر یک آسیبپذیری امنیتی، ابزارهایی برای هک سیستم رمزنگاری واتساپ توسعه داده و به دادههای کاربران دسترسی پیدا کرده است. گزارشها میگویند واتساپ این آسیبپذیری امنیتی را در سال ۲۰۲۱ برطرف کرده است. نکتهی جالب این است که بخشی از سرمایهی استارتاپ Boldend توسط یکی از سرشناسترین سهامداران فیسبوک تأمین میشود.
در سال ۲۰۱۹ هکرها جاسوسافزار روی گوشی کاربران واتساپ نصب کردند و از همین طریق سراغ حملهی سایبری به واتساپ رفتند. این عملیات سایبری ازطریق نقصی امنیتی در سیستم تماس صوتی واتساپ، بدافزار به گوشی کاربران تزریق کرد. چند ماه بعد، واتساپ گفت NSO Group مسئول این حملهی سایبری بوده و به همین دلیل از این شرکت پرحاشیه در دادگاه شکایت کرد. واتساپ گفت حملهی سایبری مورد اشاره، قوانین ایالات متحده را نقض کرده است. گفته میشود در این حملهی سایبری حداقل ۱۰۰ مدافع حقوق بشر، روزنامهنگار و دیگر اعضای جامعهی مدنی مورد هدف قرار گرفتهاند. مجموعا ۱٬۴۰۰ نفر در ۲۰ کشور دنیا از این حمله متأثر شدند.
در اوایل سال ۲۰۲۰ ادعا شد جف بیزوس، بنیانگذار آمازون و از سرشناسترین میلیاردهای صنعت فناوری، پیامی رمزنگاریشده در واتساپ از حساب رسمی محمد بن سلمان، ولیعهد عربستان سعودی، دریافت کرده است. ظاهراً این پیام حاوی فایلی مخرب بوده و باعث هک شدن گوشی جف بیزوس شده است. گزارشگران ویژهی سازمان ملل متحد بعداً تأیید کردند که گوشی بیزوس ازطریق واتساپ هک شده است.
در سال ۲۰۲۱ ادعا شد مأموران FBI آمریکا میتوانند «بهصورت بلادرنگ» به دادههای کاربران واتساپ دسترسی پیدا کنند. این ادعا در آن زمان جنجال زیادی به پا کرد. در اوایل سال جاری میلادی گفته شد یک حزب سیاسی در هند با استفاده از اپلیکیشنی به نام Tek Fog، حسابهای کاربری غیرفعال واتساپ را بهصورت انبوه هک کرده و برای مخاطبان آنها پیام فرستاده است. در آن زمان مجلهی معتبر وایر گفت فردی که به Tek Fog دسترسی داشته، توانسته است در جلوی چشم روزنامهنگاران این مجله یک حساب آزمایشی واتساپ را «در چند دقیقه» هک کند.
جلوگیری از شنود واتساپ چگونه امکانپذیر است؟
با وجود بهرهمندی از سیستمهای قدرتمند برای محافظت از اطلاعات کاربر، واتساپ هرگز از حواشی امنیتی در امان نبوده. در سال ۲۰۲۰ ادعا شد واتساپ به گوگل اجازه داده است به پیامهای خصوصی کاربران دسترسی پیدا کند. این ادعا در پروندهای که علیه گوگل در دادگاه باز شده بود مطرح شد. پروندهی مذکور هنوز در جریان است و اطلاعات مبهمی دربارهی آن وجود دارد. مشخص نیست ادعای دسترسی گوگل به پیامهای خصوصی به دور زدن سیستم رمزنگاری ارتباط دارد یا اینکه گوگل به فایل بکاپ رمزنگارینشده دسترسی پیدا کرده است.
اگر نگران شنود واتساپ هستید و بهدنبال روشی برای جلوگیری از این اتفاق میگردید، بزرگترین توصیهی ما به شما رعایت جوانب امنیتی است. تا حد امکان فایلهای بکاپ را در سرورهای ابری ذخیره نکنید. اگر از واتساپ با هدف کاری استفاده نمیکنید، لزومی ندارد نام یا عکس واقعی خود را روی پروفایل قرار دهید.
واتساپ قابلیتهای متعددی برای حفظ حریم خصوصی ارائه میدهد. با دانستن نحوهی پیکربندی تنظیمات حریم خصوصی واتساپ میتوانید بیش از پیش خودتان را ایمن نگه دارید. نکتهی بسیار مهم، عدم استفاده از نسخههای غیررسمی است. واتساپ در سال ۲۰۱۹ بیانیهای در این خصوص منتشر کرد تا به کاربران هشدار دهد که نسخههای اصلاحشدهی غیررسمی ممکن است اطلاعات کاربران را به سرقت ببرند. واتساپ همچنین گفت احتمالاً حسابهایی را که از نسخههای غیررسمی استفاده میکنند، مسدود میکند.
در سال ۲۰۱۶ شماری از کاربران به نصب اپلیکیشنی به نام WhatsApp Gold تشویق شدند و بعدها مشخص شد این اپلیکیشن حاوی بدافزار بوده است. شماری از شرکتهای فعال در حوزهی امنیت سایبری از جمله Symantec به دفعات گفتهاند اپلیکیشنهای محبوب GB WhatsApp و YoWhatsApp نیز امن نیستند.
واتساپ هرگز از حواشی امنیتی در امان نبوده است
همواره سعی کنید اپلیکیشن را بهروز نگه دارید، چون متخصصان واتساپ بهطور مداوم در حال یافتن نقصهای امنیتی و برطرف کردن آنها در قالب بهروزرسانی نرمافزاری هستند. همچنین سعی کنید سیستمعامل گوشی را بهطور مداوم بهروز کنید.
واتساپ در بهروزرسانی اخیرش دو نقص امنیتی بزرگ را برطرف کرد که یکی از آنها در وضعیت بحرانی بود. آسیبپذیری موردبحث از لحاظ تئوری به هکر امکان میداد تماس ویدیوییِ بهخصوصی طراحی و ازطریق آن، کد مخرب روی گوشی هوشمند قربانی اجرا کند، کدهایی که احتمال داشت امکان شنود واتساپ را به هکر ارائه دهند.
آسیبپذیریهایی که اجرای کد از راه دور را امکانپذیر میکنند روشی کلیدی برای نصب بدافزار، جاسوسافزار و دیگر نرمافزارهای مخرب روی گوشی افراد قربانی هستند. این آسیبپذیریها راه ورود به گوشی را برای هکر امکانپذیر میکنند و افراد سوجو میتوانند در ادامه با اتکا به تکنیکهایی مثل حملات ترفیع امتیاز، بیش از پیش به دستگاه نفوذ کنند. دومین آسیبپذیری به هکر امکان میداد پس از ارسال یک فایل ویدیویی مخرب، کد روی دستگاه شما اجرا کند.
این نخستین باری نیست که واتساپ با مشکل امنیتی مواجه میشود. پیشتر نقص امنیتی مشابهی در واتساپ پیدا شد که به هکر امکان میداد ازطریق تماس صوتی، جاسوسافزار روی گوشی نصب کند، حتی اگر کاربر تماس صوتی را پاسخ نمیداد. نکتهی عجیبتر این بود که جزئیات تماس از تاریخچهی تماس گوشی پاک میشد تا هیچ اثری از آن باقی نماند. در همان سال هکرها با بهرهگیری از آسیبپذیری دیگری، توانستند ازطریق یک تصویر GIF به دادههای گوشی فرد گیرنده دسترسی پیدا کنند.
برخی از کارشناسان میگویند هکرها ازطریق نقصهای امنیتی سراغ شنود واتساپ میروند و پیامهای ردوبدلشده بین کاربران را میبینند. نفوذ به واتساپ حتی ممکن است هکرها را قادر به نفوذ به سیستمعامل گوشی و نصب بدافزار کند.
واتساپ و ارتباط با سازمانهای دولتی
مسئلهی شنود واتساپ صرفاً منحصربه هکرها و افراد سودجو نیست. رمزنگاری سرتاسری واتساپ، در کنار تمامی مزایایش، انتقادات زیادی بهدنبال داشته است. فعالان حریم خصوصی، آزادیخواهان، کارشناسان امنیتی و فعالان حقوق بشر معتقدند رمزنگاری سرتاسری حکومتها را از تجسس انبوه بازمیدارد؛ اما سازمانهای هوش مصنوعی و امنیتی معتقدند با رمزنگاری سرتاسری، ردیابی تروریستها، کودکآزارها و قاچاقچیان انسان دشوارتر شده است.
واتساپ همکاری گستردهای با پیمانکاران متفرقه دارد. این پیامرسان به کمک نیروهای پیمانکار و البته سیستمهای مبتنیبر هوش مصنوعی، روی سرویسش نظارت و در مواردی با درخواست نهادهای مجری قانون برای دسترسی به دادهها موافقت میکند. واتساپ متادیتایی شامل اطلاعات حیاتی حساب کاربری و مکان فرد دراختیار برخی از نهادها قرار میدهد (متادیتا یا فراداده، به دادههایی گفته میشود که جزئیات یک دادهی دیگر را شرح میدهند).
دولتها رمزنگاری سرتاسری را عاملی برای ترویج تروریسم و کودکآزاری میدانند
مجلهی معتبر رولینگ استون در اواخر سال ۲۰۲۱ گزارشی تکاندهنده دربارهی ارتباط واتساپ با FBI آمریکا منتشر کرد. در آن گزارش اعلام شد واتساپ در عرض تنها چند دقیقه به احکام و احضاریههای نهادهای مجری قانون پاسخ میدهد و متادیتای کاربران را دراختیار آنها میگذارد. ظاهراً این متادیتا شامل جزئیاتی مثل اطلاعات تماس کاربر و فهرست مخاطبان است.
در اوایل سال جاری میلادی ادعا شد واتساپ با تبعیت از درخواست ادارهی مبارزه با مواد مخدر آمریکا، از نوامبر ۲۰۲۱ (آبان و آذر ۱۴۰۰) شروعبه رهگیری هفت کاربر در چین و ماکائو کرده است. براساس ادعاهای مطرحشده، واتساپ دادههایی دربارهی افرادی که آن هفت نفر با آنها در ارتباط بودند جمعآوری کرده است. واتساپ همچنین مشخص کرده که هفت فرد موردبحث هر چند وقت یکبار سراغ ارتباط با افراد مختلف رفتهاند. بهعلاوه واتساپ اطلاعاتی دربارهی مدتزمان و نحوهی استفادهی این هفت نفر از پیامرسان جمعآوری کرده است.
ظاهراً این واقعه، منحصربهفرد نبوده. آژانسهای دولتی آمریکا با استناد به قانون حریم خصوصی ارتباطات الکترونیکی میتوانند هر فردی را بدون ارائهی دلیل، ردیابی کنند.
واتساپ چه میگوید؟
واتساپ بهخوبی از فضای رسانهای که علیه وی ایجاد شده است اطلاع دارد و در همین راستا بارها تلاش کرده است دربارهی سیاستهایش شفافسازی انجام دهد. واتساپ به هنگام جنجال سال ۲۰۲۱ دربارهی اشتراکگذاری دادهها با متا اعلام کرد این کار تجربهی کار با این پیامرسان را بهبود میدهد و در نهایت به نفع مصرفکننده است.
واتساپ در مواردی به گزارشهای مربوط به عدم امنیتش واکنش نشان داده و تأکید کرده که به دلیل استفاده از سیستم رمزنگاری سرتاسری، امنیت بالایی دارد. کار به جایی رسیده که مدیران واتساپ اخیراً در بنری تبلیغاتی در یکی از ایستگاههای قطار نیویورک به اپل و سرویس آیمسیج حمله کردهاند.
واتساپ میگوید شماری از دولتها در تلاشند شرکتهای حوزهی فناوری را تحت فشار بگذارند تا بفهمند که افراد در سرویسهای پیامرسان چه پیامهایی ارسال میکنند. این مفهوم در دنیای وب اصطلاحاً «پایشپذیری» نامیده میشود و واتساپ خودش را مخالف آن میداند.
متخصصان حوزهی فناوری و حریم خصوصی صراحتاً گفتهاند پایشپذیری باعث از بین رفتن رمزنگاری سرتاسری میشود و حریم خصوصی میلیاردها آدمی را که بهصورت دیجیتالی با هم ارتباط برقرار میکنند، شدیداً به خطر میاندازد.
به عقیدهی واتساپ، هرچه زمان میگذرد دنیای ما دیجیتالیتر میشود و به همین دلیل لازم است که مقرراتی معقول و متناسب با شرایط در نظر گرفته شود، اما پایشپذیری نهتنها حریم خصوصی و حقوق بشر را نقض میکند بلکه افراد بیگناه را درمعرض خطر قرار میدهد.
واتساپ میگوید متعهد است با تمام توانش از پیامهای خصوصی کاربران محافظت کند و به همین دلیل یکی از مخالفان سرسخت مفهوم پایشپذیری است.
به موجب پیادهسازی سیستم رمزنگاری سرتاسری، پیامها و تصاویر و ویدیوها توسط هیچکس به غیر افرادی که در صفحهی چت حضور دارند قابلرؤیت نیست، اما مفهوم پایشپذیری در تلاش است مشخص کند افراد چه حرفهایی در سرویسهای پیامرسان میزنند و چه محتواهایی را با یکدیگر به اشتراک میگذارند. طرفداران این مفهوم میگویند که سرویسهای پیامرسان باید پیامها را بهطور کامل ذخیره کنند تا بتوان روی محتوای پیامهای مردم تحقیق انجام داد. این عملاً نقض مستقیم سیستم رمزنگاری سرتاسری است.
به گفتهی واتساپ، بهمنظور پایش تنها یک پیام، سرویسهای پیامرسان مجبورند یکایک پیامها را پایش کنند، چون نمیتوان پیشبینی کرد که دولتها در آینده سراغ جزئیات کدام پیام را میگیرند. واتساپ میگوید کسانی که موافق مفهوم پایشپذیری هستند عملاً قصد دارند نوعی برنامهی نظارت جمعی جدید راه بیاندازند. سرویسهای پیامرسان برای تبعیت از این قانون مجبورند دیتابیس عظیمی از تمامی پیامهایی که ارسال میکنید بسازند. در این شرایط شرکتها بیشترین اطلاعات ممکن را دربارهی کاربرانشان جمعآوری میکنند، آن هم در شرایطی که بسیاری از مردم تمایلی به پایش شدن اطلاعاتشان در فضای آنلاین ندارند.
مفهوم پایشپذیری میگوید شرکتهای خصوصی مثل واتساپ موظفاند اسم فردی را که محتوای بهخصوصی با بقیه به اشتراک گذاشته است ارائه دهند، حتی اگر آن فرد محتوا را تولید نکرده و صرفاً از روی نگرانی آن را برای بقیه فرستاده باشد. این رویکرد باعث میشود که افراد بیگناه درگیر روندهای تحقیقاتی شوند و حتی به زندان محکوم شوند، آن هم به دلیل اشتراکگذاری محتوایی که بعدا از نگاه دولت، ناقض قوانین است. بدین ترتیب هر چیزی که در فضای آنلاین بنویسید ممکن است عاملی برای بهدردسر افتادن شما باشد و این یعنی نقض حریم خصوصی.
این جمله را آویزهی گوشتان کنید: «امنیت ۱۰۰ درصدی در فضای مجازی، مفهومی مضحک است»
واتساپ میگوید سازمانهای دولتی در جریان تحقیقات بهطور معمول از شرکتهای خصوصی میخواهند که جزئيات حساب کاربری فردی بهخصوص را ارائه دهند. اما اگر مفهوم پایشپذیری اعمال شود، دولت محتوای بهخصوصی به شرکتها میدهد و از آنها میخواهد که بگویند چه فردی آن محتوا را ارسال کرده است.
واتساپ میگوید به اقدامات پر اهمیتی که نهادهای مجری قانون برای ایمن نگه داشتن مردم انجام میدهند احترام میگذارد و به همین دلیل تیمی اختصاصی برای بررسی و پاسخدهی به درخواستهای رسمی از سوی نهادهای قانونی دارد. واتساپ صراحتاً میگوید در صورت لزوم اطلاعاتِ محدودی را که دراختیار دارد، مطابق با قوانین و سیاستهایش، به نهادهای قانونی ارائه میدهد.
واتساپ تیم دیگری دارد که اعضای آن بهصورت ۲۴ ساعته در حالی همکاری با نهادهای مجری قانون هستند تا پروندههایی مثل تهدیدهای جدیِ قریبالوقوع یا احتمال آسیب فیزیکی شدید افراد سریعاً مورد بررسی قرار بگیرد. این سیاست فقط منحصربه واتساپ نیست. بسیاری از شرکتهای حوزهی فناوری در صورت لزوم اطلاعاتی از کاربران را دراختیار سازمانهای دولتی قرار میدهند.
چه نتیجهای میتوان گرفت؟
به همان شیوهای که بستن کمربند ایمنی، سالم ماندن شما در خودرو را تضمین نمیکند، امنیت ۱۰۰ درصدی مفهومی بیمعنا در دنیای آنلاین است. واتساپ پراستفادهترین پیامرسان دنیا است، اما لزوماً محبوبترین پیامرسان بهحساب نمیآید، چون سابقهی خوبی در زمینهی حفظ امنیت ندارد.
در نظر داشته باشید حتی با وجود رعایت تمامی جوانب امنیتی، اگر از دستگاهی که به بدافزار آلوده باشد استفاده کنید، خطر شنود پیامهایتان را به جان میخرید. بنابراین صرفِ توجه به پیامرسان، عاقلانه نیست. باید از نصب نرمافزار ازطریق منابع غیررسمی خودداری کنید. همچنین به هنگام نصب اپلیکیشنها، به فهرست دسترسیها دقت کنید. چرا باید یک بازی موبایلی خواستار دسترسی به گالری یا فهرست مخاطبان باشد؟
در همین حین شماری از افراد اعتقاد دارند که شنود واتساپ در ایران امکانپذیر است. این افراد میگویند اپلیکیشن واتساپ ازطریق اینترنتی که تحت نظارت نهادهای دولتی است با سرور ارتباط برقرار میکند. به ادعای آنها، شرکتهای ارائهدهندهی اینترنت که تحت نظارت دولت هستند، «برخی از پروتکلهای امنیتی را میبندند» تا «جلوی رمزنگاریشدن پیچیدهی پیام گرفته شود» و «با سوئیچ به حالت رمزنگاری عادی یا عمومی» بتوان واتساپ را شنود کرد. این ادعا توسط کارشناسان حوزهی امنیت تأیید نمیشود، اما در هر صورت ادعایی قابل توجه است.
امنیت پیامهایی که در واتساپ میفرستید بیشتر از اکثر پلتفرمها است، چون واتساپ از رمزنگاری سرتاسری پشتیبانی میکند. اساساً اگر روی گوشی خود بدافزار نداشته باشید، امکان شنود واتساپ و فهمیدن جزئیات پیامها وجود ندارد. با اینوجود توصیه میکنیم هیچ پلتفرمی را بهطور کامل ایمن بهحساب نیاورید و قبل از فرستادن پیامی که ممکن است دردسرساز شود این جمله را به خود یادآوری کنید: «امنیت ۱۰۰ درصدی در فضای مجازی، مفهومی مضحک است.»