شنود واتساپ، ادعایی ترسناک؛ پراستفاده‌ترین پیام‌رسان دنیا چقدر امنیت دارد؟

واتساپ به‌عنوان یکی از محبوب‌ترین سرویس‌های پیام‌رسان در سراسر دنیا همواره در مرکز توجه بوده است. این پیام‌رسان که افزون‌بر امکان چت کردن و ارسال عکس و ویدیو و پیام صوتی، برقراری تماس را امکان‌پذیر می‌کند، پس از فیلتر شدن تلگرام در ایران، پراستفاده‌تر شد، ولی محبوب‌تر نه. آمار رسمی نشان می‌دهد بیش از دو میلیارد نفر در ۱۸۰ کشور دنیا مشغول استفاده از واتساپ هستند.

واتساپ در سال ۲۰۰۹ توسط دو کارمند سابق یاهو بنیان‌گذاری شد. یکی از بنیان‌گذاران واتساپ پس از تهیه‌ی آیفون در اوایل سال ۲۰۰۹، متوجه شده بود که سرویسی مثل واتساپ به‌لطف آیفون و فروشگاه آنلاین اپ استور پتانسیل زیادی برای دیده شدن دارد.

پس از شروع‌به‌کار واتساپ، تعداد قابل توجهی از مردم به آن علاقه نشان دادند و پیام‌رسان موردبحث سریعاً به ۲۵۰ هزار کاربر فعال دست یافت. این موفقیت کافی بود تا بنیان‌گذاران واتساپ بتوانند با بودجه‌ی ۲۵۰ هزار دلاری، تعداد زیادی از کارکنان سابق یاهو را که پیش‌تر با آن‌ها کار کرده بودند، به تیم واتساپ ملحق کنند.

واتساپ بعداً برای اندروید نیز دردسترس قرار گرفت و در گذر زمان توانست محبوب‌تر شود. تا سال ۲۰۱۱، تعداد پیام‌های ارسالی در روز به بیش از یک میلیارد رسید و تا اوایل سال ۲۰۱۳ واتساپ از ۲۰۰ میلیون کاربر فعال میزبانی می‌کرد. واتساپ امروزه جزو معدود اپلیکیشن‌هایی است که بیش از پنج میلیارد بار دانلود شده. این پیام‌رسان نه‌تنها در پلتفرم‌های موبایلی قابل دسترس است، بلکه می‌توان ازطریق وب و کامپیوتر نیز وارد حساب واتساپ شد.

پاول دورُف، مدیرعامل تلگرام، اواسط مهر در ادعایی نگران‌کننده گفت واتساپ سرویسی ناامن است و هکرها می‌توانند به اطلاعات گوشی کاربران این پیام‌رسان دسترسی پیدا کنند. مدیرعامل تلگرام همچنین مدعی شد واتساپ بیش از ۱۳ سال است که «ابزاری نظارتی» محسوب می‌شود.

دورف تنها کسی نیست که ادعای شنود واتساپ را مطرح کرده است. سال‌ها پیش رئیس پلیس فتای ایران در اظهارنظری جنجالی گفته بود «پیام‌های خصوصی در وایبر، واتساپ و... توسط پلیس فتا قابل کنترل است.» با وجود تکذیب این گفته‌ها توسط مدیرعامل واتساپ، همچنان بسیاری از کاربران نگران امنیت این پیام‌رسان هستند و حتی به دیلیت اکانت واتساپ فکر می‌کنند.

با در نظر گرفتن حواشی، این سؤال ایجاد می‌شود که آیا شنود واتساپ انجام‌شدنی است؟

شنود واتساپ ادعایی ترسناک است. همه‌ی ما با اطمینان از ایمن بودن واتساپ از این پیام‌رسان استفاده می‌کنیم و تمایلی نداریم پیام‌هایمان را فرد یا سازمان متفرقه‌ای ببیند. اگر شنود واتساپ انجام‌شدنی باشد،‌ این پیام‌رسانِ محبوبِ تحت مدیریت متا (شرکت مادر فیسبوک و اینستاگرام) خیانت بزرگی در حق کاربرانش کرده، چون مدیران واتساپ بارها مدعی شده‌اند که پلتفرمی ایمن دردسترس کاربران قرار می‌دهند.

واتساپ کار خود را به‌عنوان جایگزینی برای سیستم پیام‌رسانیِ SMS شروع کرد، اما امروزه ارسال و دریافت تنوع بالایی از محتوا را امکان‌پذیر می‌کند: از متن و عکس و ویدیو تا اسناد و حتی مکان (لوکیشن). واتساپ می‌گوید برای حریم خصوصی کاربرانش «اهمیت ویژه‌ای قائل است» و به همین دلیل سیستمی امنیتی در این پیام‌رسان استفاده شده تا اطمینان حاصل شود که هیچ‌کس توانایی شنود واتساپ را نداشته باشد.

متا سابقه‌ی خوبی در زمینه‌ی حریم خصوصی ندارد و فاجعه‌ای که این شرکت با کمبریج آنالیتیکا به بار آورد هرگز از ذهن کاربران پاک نمی‌شود. سابقه‌ی بد متا در حوزه‌ی حریم خصوصی باعث شده است خیلی‌ها ادعای شنود واتساپ را باور کنند.

از طرفی واتساپ به‌عنوان زیرمجموعه‌ی متا، داده‌های کاربران را دراختیار شرکت مارک زاکربرگ قرار می‌دهد. هر دو بنیان‌گذار واتساپ به دلیل همین نگرانی‌ها از تیم این پیام‌رسان جدا شدند و بعدها انتقاداتی به سبک مدیریتی زاکربرگ وارد کردند.

واتساپ می‌گوید بخشی از داده‌های کاربر را جمع‌آوری می‌کند و با متا به اشتراک می‌گذارد، اما این کار با هدف بهبود تجربه‌ی پیام‌رسانی انجام می‌گیرد. واتساپ تا قبل از سال ۲۰۲۱ به کاربران اجازه می‌داد جلوی اشتراک‌گذاری داده‌هایشان با متا را بگیرند، اما در اقدامی بسیار جنجالی، این امکان را حذف کرد.

واتساپ مبتنی‌بر نسخه‌ای سفارشی از پروتکل XMPP است و در فرایند نصب، از شماره تلفن کاربر برای ایجاد حساب استفاده می‌کند. واتساپ تمامی شماره تلفن‌های موجود در فهرست مخاطبان را با دیتابیس داخلی خود مقایسه می‌کند تا به‌صورت خودکار مخاطبان را به فهرست اضافه کند.

قبلا نسخه‌ی اندرویدی واتساپ از نسخه‌ی معکوس کد IMEI گوشی که توسط الگوریتم MD5 هش شده بود، به‌عنوان رمز عبور استفاده می‌کرد. نسخه‌ی iOS واتساپ به‌جای کد IMEI به آدرس مک وای‌فای گوشی وابسته بود. از سال ۲۰۱۲ به بعد، واتساپ رمز عبوری تصادفی در سرور ایجاد می‌کند.

واتساپ از سال ۲۰۱۵ تاکنون قابلیت تماس صوتی ارائه می‌دهد. کدک صوتی واتساپ، Opus است که بر الگوریتم‌های MDCT و LPC برای فشرده‌سازی محتوای صوتی اتکا می‌کند.

وقتی پیامی در واتساپ ارسال می‌کنید، آن پیام در ابتدا به سرورهای واتساپ که محل ذخیره‌سازی است، می‌رود. سرور به‌طور مکرر از دستگاه فرد گیرنده درخواست می‌کند که دریافت پیام را تأیید کند. پس از تأیید دریافت، پیام در گوشی فرد گیرنده قابل مشاهده می‌شود و واتساپ آن را از سرورهایش «حذف می‌کند». در صورت آنلاین نشدن فرد گیرنده، واتساپ پیام‌ها را تا حداکثر ۳۰ روز در دیتابیس خود ذخیره می‌کند.

واتساپ اهمیت زیادی به رمزنگاری سرتاسری می‌دهد و در بخش آغازین تمامی صفحات چت با متنی به رنگ طلایی، این موضوع را به کاربر یادآوری می‌کند. واتساپ می‌گوید که اعتقاد دارد پیام‌های کاربران متعلق‌به خودشان است، به همین دلیل پیام‌ها به‌صورت محلی در داخل گوشی ذخیره می‌شوند و واتساپ محتویات آن‌ها را برای شرکت‌های تبلیغاتی به نمایش نمی‌گذارد. حداقل این ادعایی است که توسط خود واتساپ مطرح شده است.

بررسی‌ها نشان می‌دهد پیام‌های واتساپ با استفاده از پروتکل سیگنال و تماس‌های واتساپ بر پایه‌ی SRTP رمزنگاری می‌شوند. واتساپ همچنین می‌گوید تمامی ارتباطات بین کاربر و سرور «در داخل یک کانال رمزنگاری‌شد‌ه‌ی مجزا، لایه‌بندی می‌شود.» پروتکل سیگنال که برای پیام‌های واتساپ استفاده می‌شود نوعی پروتکل متن‌باز و تحت مجوز GPLv3 است.

بسیاری از کاربران به دفعات از خود می‌پرسند چگونه بفهمیم واتساپ کنترل می‌شود؟ برای فهمیدن پاسخ این سؤال، باید با سازوکار واتساپ آشنا باشید. سیستم امنیتی واتساپ صرفاً محدود به رمزنگاری سرتاسری نیست و این پیام‌رسان قابلیت‌های دیگری نیز دارد تا از حفظ حریم خصوصی خود اطمینان حاصل کنید.

برای نمونه در واتساپ می‌توان تصاویری ارسال کرد که فقط یک بار قابل دیدن باشند. به‌علاوه، می‌توان گزینه‌ای را فعال کرد تا پیام‌های ارسال‌شده پس از مدت‌زمانی مشخص پاک شوند. با اضافه کردن احراز هویت دو عاملی، می‌توانید حساب کاربری خود را امن‌تر کنید. همچنین ازطریق حسگر اثر انگشت یا سیستم تشخیص چهره، امکان قفل کردن اپلیکیشن واتساپ وجود دارد. پیام‌هایی که کاربر در سرورهای ابری نظیر آی‌کلاد یا گوگل درایو ذخیره می‌کند، به‌صورت پیش‌فرض رمزنگاری می‌شوند.

رمزنگاری سرتاسری کلیدواژه‌ای است که واتساپ برای تأکید بر حفظ حریم خصوصی به کار می‌گیرد و بر همین اساس می‌گوید ادعاهای شنود واتساپ حقیقت ندارد. رمزنگاری سرتاسری راهکاری برای ایمن کردن پیام‌ها است. اساس این سیستم، همان چیزی است که واتساپ ادعا می‌کند: صرفاً فردی می‌تواند پیام را بخواند که یک طرف ارتباط باشد و هیچ شخص سومی حتی شرکت ارائه‌دهنده‌ی سرویس پیام‌رسان (در این‌جا واتساپ) نمی‌تواند به کلیدهای موردنیاز برای رمزگشایی مکالمه دسترسی پیدا کند.

نمونه‌ای از یک پیام‌ رمزنگاری‌شده؛ اگر کسی به‌دنبال مشاهده‌ی پیام «زومیت امنیت پیام‌رسان واتساپ را بررسی می‌کند» باشد، با نسخه‌ی رمزنگاری‌شده‌ی آن مواجه می‌شود، نسخه‌ای که امکان رمزگشایی آن وجود ندارد

به ادعای کارشناسان حوزه‌ی امنیت، وقتی از سیستم رمزنگاری سرتاسری بهره بگیرید هیچ هکری توانایی دست‌کاری ارتباطات را ندارد. واتساپ اولین پیام‌رسان مجهز به رمزنگاری سرتاسری نیست، اما یکی از مهم‌ترین‌ها به‌حساب می‌آید، چون کاربران پرتعدادی دارد، کاربرانی که شدیداً نگران شنود واتساپ هستند و می‌خواهند بدانند که آیا واقعاً کسی می‌تواند واتساپ را شنود کند؟

در سیستم رمزنگاری سرتاسری پیام‌ها به‌گونه‌ای درهم می‌آمیزند که صرفاً فرد فرستنده یا فرد گیرنده امکان رمزگشایی پیام و مشاهده‌ی محتویات آن را داشته باشد. این سیستم همان‌طورکه از نامش پیدا است (End-to-End) در دو طرف پیام را رمزنگاری می‌کند. پیام روی دستگاه فرستنده رمزنگاری می‌شود، به حالت ناخوانا درمی‌آید و در نهایت فرد گیرنده پیامِ ناخوانا را رمزگشایی می‌‌کند.

ارائه‌ی سیستم رمزنگاری سرتاسری به‌ روش‌های مختلفی انجام می‌گیرد، بااین‌حال در حالت کلی روی دستگاه دو کلید رمزنگاری ریاضی تولید می‌شود: یک کلید خصوصی و یک کلید عمومی (این کلیدها برای بقیه قابل رمزگشایی نیستند). می‌توانید به هر فردی که به‌دنبال رمزنگاری پیام با شما باشد، کلید عمومی را بدهید؛ بااین‌حال کلید خصوصی مخصوص رمزگشایی پیام‌هایی است که شما ارسال کرده‌اید. کلید خصوصی دستگاه شما را ترک نمی‌کند.

در سال‌های نه‌چندان دور شایعه‌ی عجیبی بین مردم دست‌به‌دست می‌شد. برخی از افراد اعتقاد داشتند وقتی در واتساپ پیام تیک آبی می‌خورد، بدین معنی است که آن پیام توسط ادمین‌های واتساپ مشاهده شده است. این افراد تیک آبی را دلیلی برای اثبات شنود واتساپ قلمداد می‌کردند. اما همان‌طورکه می‌دانید تیک آبی به معنی دیده شدن پیام توسط طرف مقابل است.

متخصصان، امنیت را به یک زنجیره‌ی طویل تشبیه می‌کنند که تمامی بخش‌های آن نیاز به تقویت شدن دارد. افراد سودجو معمولاً در حملات سایبری سراغ ضعیف‌ترین بخش‌های سیستم‌ها می‌روند، چون کارشان برای نفوذ به سیستم و دسترسی به داده‌های حیاتی ساده‌تر است. از طرفی سرورها آسیب‌پذیرترند و درنتیجه، روش هکرها معمولاً متمرکز بر دسترسی به سرورها است. رمزنگاری سرتاسری داده‌های ذخیره‌شده را تحت حفاظت خود قرار می‌دهد. هدف این سیستم، ایمن کردن داده‌ها در مسیر انتقال (شامل سرور) است، بنابراین با ایمن‌ترین نوع رمزنگاری طرفیم.

در روشی خلاقانه، هکر می‌تواند به جای تلاش برای شکستن سیستم رمزنگاری، خود را به‌جای گیرنده‌ی پیام جا بزند. با این کار، پیام‌ها برای هکر ارسال می‌شود. پس از رمزگشایی پیام، هکر برای جلوگیری از افشای اقداماتش، می‌تواند پیام دریافتی را مجدداً رمزنگاری کند و آن را برای گیرنده‌ی اصلی بفرستد (این راهکار اساساً مبتنی‌بر روش حمله‌ی مرد میانی است).

البته طراحان سیستم‌های امنیتی به‌خوبی از راهکارهایی که هکرها ممکن است استفاده کنند، آگاه‌اند. در همین راستا برخی سیستم‌های رمزنگاری سرتاسری، رشته‌های یک‌زمانه و منحصر‌به‌فردی از کاراکترها را براساس دو کلید عمومی کاربر تولید می‌کنند. دو طرف ارتباط می‌توانند قبل از شروع مکالمه، کلمه‌ی عبور را برای یکدیگر قرائت کنند. اگر کاراکترها منطبق باشند، اطمینان پیدا می‌کنند استراق‌سمعی در کار نیست.

با در نظر گرفتن تمامی جوانب امنیتی، بازهم دو انتهای مکالمه، نقاطی آسیب‌پذیر در سیستم رمزنگاری به حساب می‌آیند: کامپیوتر هر کاربر را می‌توان برای سرقت کلید رمزنگاری هک و به پیام‌ها دسترسی پیدا کرد.

حتی با وجود رمزنگاری‌شدن فایل‌ها و چت‌ها، به هنگام ساختن حساب کاربری واتساپ از شما خواسته می‌شود که اطلاعات هویتی و ارتباطی خود را دردسترس این پیام‌رسان قرار دهید. بدین ترتیب اطلاعات شخصی شما همچنان درمعرض خطر است. این موضوعِ پر اهمیتی است، حتی اگر خطری که متوجه اطلاعات شخصی شما است، کمتر از خطر استفاده از پیام‌رسان‌های رمزنگاری‌نشده باشد. افزون‌بر این مورد، واتساپ مدت‌زمانی را که شما مشغول استفاده از پیام‌رسان هستید مورد بررسی قرار می‌دهد. این یعنی با وجود ایمن بودن داده‌ها، واتساپ همچنان اطلاعاتی درباره‌ی نحوه‌ی استفاده از سرویسش توسط کاربران، جمع‌آوری می‌کند.

در سیستم‌های عامل اندروید و iOS، واتساپ به شما امکان می‌دهد از پیام‌های متنی و صوتی و تصاویر و ویدیوها نسخه‌ی پشتیبان (بکاپ) تهیه کنید. تهیه‌ی نسخه‌ی پشتیبان اقدامی ضروری است، چون به شما امکان می‌دهد پیام‌های مهمی را که ناخواسته حذف شده‌اند بازیابی کنید. امکان ذخیره‌ی نسخه‌ی پشتیبان پیام‌ها در سرورهای ابری و در داخل خود گوشی وجود دارد. پیام‌های رمزگشایی‌شده در گوشی، در این فایل‌های بکاپ ذخیره می‌شوند.

تا پیش از سال ۲۰۲۱ فایل بکاپی که در آی‌کلاد یا گوگل درایو ذخیره می‌کردید، ایمن نبود، چون نسخه‌ی رمزگشایی‌شده‌ی پیام‌هایی را که در واتساپ ارسال یا دریافت کرده بودید در خود داشت. بدین ترتیب در فایل‌های بکاپ، خبری از سیستم رمزنگاری سرتاسری که واتساپ اهمیت زیادی به آن می‌دهد، نبود. این باعث می‌شد از لحاظ تئوری، شنود واتساپ امکان‌پذیر باشد.

واتساپ از سال ۲۰۲۱ فایل‌های بکاپ را در سیستم‌های عامل اندروید و iOS و همچنین سرورهای ابری رمزنگاری می‌کند. این قابلیت باید به‌صورت دستی توسط کاربر فعال شود. در این حالت کاربر می‌تواند فایل بکاپ را با رمز عبور یا یک کلید ۶۴ رقمی، رمزنگاری کند.

در سال ۲۰۱۹ هکرها جاسوس‌افزار روی گوشی کاربران واتساپ نصب کردند و از همین طریق سراغ حمله‌ی سایبری به واتساپ رفتند. این عملیات سایبری ازطریق نقصی امنیتی در سیستم تماس صوتی واتساپ، بدافزار به گوشی کاربران تزریق کرد. چند ماه بعد، واتساپ گفت NSO Group مسئول این حمله‌ی سایبری بوده و به همین دلیل از این شرکت پرحاشیه در دادگاه شکایت کرد. واتساپ گفت حمله‌ی سایبری مورد اشاره، قوانین ایالات متحده را نقض کرده است. گفته می‌شود در این حمله‌ی سایبری حداقل ۱۰۰ مدافع حقوق بشر، روزنامه‌نگار و دیگر اعضای جامعه‌ی مدنی مورد هدف قرار گرفته‌اند. مجموعا ۱٬۴۰۰ نفر در ۲۰ کشور دنیا از این حمله متأثر شدند.

در اوایل سال ۲۰۲۰ ادعا شد جف بیزوس، بنیان‌گذار آمازون و از سرشناس‌ترین میلیاردهای صنعت فناوری، پیامی رمزنگاری‌شده در واتساپ از حساب رسمی محمد بن سلمان، ولیعهد عربستان سعودی، دریافت کرده است. ظاهراً این پیام حاوی فایلی مخرب بوده و باعث هک شدن گوشی جف بیزوس شده است. گزارشگران ویژه‌ی سازمان ملل متحد بعداً تأیید کردند که گوشی بیزوس ازطریق واتساپ هک شده است.

در سال ۲۰۲۱ ادعا شد مأموران FBI آمریکا می‌توانند «به‌صورت بلادرنگ» به داده‌های کاربران واتساپ دسترسی پیدا کنند. این ادعا در آن زمان جنجال زیادی به پا کرد. در اوایل سال جاری میلادی گفته شد یک حزب سیاسی در هند با استفاده از اپلیکیشنی به نام Tek Fog، حساب‌های کاربری غیرفعال واتساپ را به‌صورت انبوه هک کرده و برای مخاطبان آن‌ها پیام فرستاده است. در آن زمان مجله‌ی معتبر وایر گفت فردی که به Tek Fog دسترسی داشته، توانسته است در جلوی چشم روزنامه‌نگاران این مجله یک حساب آزمایشی واتساپ را «در چند دقیقه» هک کند.

با وجود بهره‌مندی از سیستم‌های قدرتمند برای محافظت از اطلاعات کاربر، واتساپ هرگز از حواشی امنیتی در امان نبوده. در سال ۲۰۲۰ ادعا شد واتساپ به گوگل اجازه داده است به پیام‌های خصوصی کاربران دسترسی پیدا کند. این ادعا در پرونده‌ای که علیه گوگل در دادگاه باز شده بود مطرح شد. پرونده‌ی مذکور هنوز در جریان است و اطلاعات مبهمی درباره‌‌ی آن وجود دارد. مشخص نیست ادعای دسترسی گوگل به پیام‌های خصوصی به دور زدن سیستم رمزنگاری ارتباط دارد یا این‌که گوگل به فایل بکاپ رمزنگاری‌نشده دسترسی پیدا کرده است.

اگر نگران شنود واتساپ هستید و به‌دنبال روشی برای جلوگیری از این اتفاق می‌گردید، بزرگ‌ترین توصیه‌ی ما به شما رعایت جوانب امنیتی است. تا حد امکان فایل‌های بکاپ را در سرورهای ابری ذخیره نکنید. اگر از واتساپ با هدف کاری استفاده نمی‌کنید، لزومی ندارد نام یا عکس واقعی خود را روی پروفایل قرار دهید.

واتساپ قابلیت‌های متعددی برای حفظ حریم خصوصی ارائه می‌دهد. با دانستن نحوه‌ی پیکربندی تنظیمات حریم خصوصی واتساپ می‌توانید بیش از پیش خودتان را ایمن نگه دارید. نکته‌ی بسیار مهم، عدم استفاده از نسخه‌های غیررسمی است. واتساپ در سال ۲۰۱۹ بیانیه‌ای در این خصوص منتشر کرد تا به کاربران هشدار دهد که نسخه‌های اصلاح‌شده‌ی غیررسمی ممکن است اطلاعات کاربران را به سرقت ببرند. واتساپ همچنین گفت احتمالاً حساب‌هایی را که از نسخه‌های غیررسمی استفاده می‌کنند، مسدود می‌کند.

در سال ۲۰۱۶ شماری از کاربران به نصب اپلیکیشنی به نام WhatsApp Gold تشویق شدند و بعدها مشخص شد این اپلیکیشن حاوی بدافزار بوده است. شماری از شرکت‌های فعال در حوزه‌ی امنیت سایبری از جمله Symantec به دفعات گفته‌اند اپلیکیشن‌های محبوب GB WhatsApp و YoWhatsApp نیز امن نیستند.

واتساپ در به‌روزرسانی اخیرش دو نقص امنیتی بزرگ را برطرف کرد که یکی از آن‌ها در وضعیت بحرانی بود. آسیب‌پذیری موردبحث از لحاظ تئوری به هکر امکان می‌داد تماس ویدیوییِ به‌خصوصی طراحی و ازطریق آن، کد مخرب روی گوشی هوشمند قربانی اجرا کند، کدهایی که احتمال داشت امکان شنود واتساپ را به هکر ارائه دهند.

آسیب‌پذیری‌هایی که اجرای کد از راه دور را امکان‌پذیر می‌کنند روشی کلیدی برای نصب بدافزار، جاسوس‌افزار و دیگر نرم‌افزارهای مخرب روی گوشی افراد قربانی هستند. این آسیب‌پذیری‌ها راه ورود به گوشی را برای هکر امکان‌پذیر می‌کنند و افراد سوجو می‌توانند در ادامه با اتکا به تکنیک‌هایی مثل حملات ترفیع امتیاز، بیش از پیش به دستگاه نفوذ کنند. دومین آسیب‌پذیری به هکر امکان می‌داد پس از ارسال یک فایل ویدیویی مخرب، کد روی دستگاه شما اجرا کند.

این نخستین باری نیست که واتساپ با مشکل امنیتی مواجه می‌شود. پیش‌تر نقص امنیتی مشابهی در واتساپ پیدا شد که به هکر امکان می‌داد ازطریق تماس صوتی، جاسوس‌افزار روی گوشی نصب کند، حتی اگر کاربر تماس صوتی را پاسخ نمی‌داد. نکته‌ی عجیب‌تر این بود که جزئیات تماس از تاریخچه‌‌ی تماس گوشی پاک می‌شد تا هیچ اثری از آن باقی نماند. در همان سال هکرها با بهره‌گیری از آسیب‌پذیری دیگری، توانستند ازطریق یک تصویر GIF به داده‌های گوشی فرد گیرنده دسترسی پیدا کنند.

برخی از کارشناسان می‌گویند هکرها ازطریق نقص‌های امنیتی سراغ شنود واتساپ می‌روند و پیام‌های ردوبدل‌شده بین کاربران را می‌بینند. نفوذ به واتساپ حتی ممکن است هکرها را قادر به نفوذ به سیستم‌عامل گوشی و نصب بدافزار کند.

مسئله‌ی شنود واتساپ صرفاً منحصربه هکرها و افراد سودجو نیست. رمزنگاری سرتاسری واتساپ، در کنار تمامی مزایایش، انتقادات زیادی به‌دنبال داشته است. فعالان حریم خصوصی، آزادی‌خواهان، کارشناسان امنیتی و فعالان حقوق بشر معتقدند رمزنگاری سرتاسری حکومت‌ها را از تجسس انبوه بازمی‌دارد؛ اما سازمان‌های هوش مصنوعی و امنیتی معتقدند با رمزنگاری سرتاسری، ردیابی تروریست‌ها، کودک‌آزارها و قاچاقچیان انسان دشوارتر شده است.

واتساپ همکاری گسترده‌ای با پیمان‌کاران متفرقه دارد. این پیام‌رسان به کمک نیروهای پیمان‌کار و البته سیستم‌های مبتنی‌بر هوش مصنوعی، روی سرویسش نظارت و در مواردی با درخواست نهادهای مجری قانون برای دسترسی به داده‌ها موافقت می‌‌کند. واتساپ متادیتایی شامل اطلاعات حیاتی حساب کاربری و مکان فرد دراختیار برخی از نهادها قرار می‌دهد (متادیتا یا فراداده، به داده‌هایی گفته می‌شود که جزئیات یک داده‌ی دیگر را شرح می‌دهند).

در اوایل سال جاری میلادی ادعا شد واتساپ با تبعیت از درخواست اداره‌ی مبارزه با مواد مخدر آمریکا، از نوامبر ۲۰۲۱ (آبان و آذر ۱۴۰۰) شروع‌به رهگیری هفت کاربر در چین و ماکائو کرده است. براساس ادعاهای مطرح‌شده، واتساپ داده‌هایی درباره‌ی افرادی که آن هفت نفر با آن‌ها در ارتباط بودند جمع‌آوری کرده است. واتساپ همچنین مشخص کرده که هفت فرد موردبحث هر چند وقت‌ یک‌بار سراغ ارتباط با افراد مختلف رفته‌اند. به‌علاوه واتساپ اطلاعاتی درباره‌ی مدت‌زمان و نحوه‌ی استفاده‌ی این هفت نفر از پیام‌رسان جمع‌آوری کرده است.

ظاهراً این واقعه، منحصربه‌فرد نبوده. آژانس‌های دولتی آمریکا با استناد به قانون حریم خصوصی ارتباطات الکترونیکی می‌توانند هر فردی را بدون ارائه‌ی دلیل، ردیابی کنند.

واتساپ به‌خوبی از فضای رسانه‌ای که علیه وی ایجاد شده است اطلاع دارد و در همین راستا بارها تلاش کرده است درباره‌ی سیاست‌هایش شفاف‌سازی انجام دهد. واتساپ به هنگام جنجال سال ۲۰۲۱ درباره‌ی اشتراک‌گذاری داده‌ها با متا اعلام کرد این کار تجربه‌ی کار با این پیام‌رسان را بهبود می‌دهد و در نهایت به نفع مصرف‌کننده است.

واتساپ در مواردی به گزارش‌های مربوط به عدم امنیتش واکنش نشان داده و تأکید کرده که به دلیل استفاده از سیستم رمزنگاری سرتاسری، امنیت بالایی دارد. کار به جایی رسیده که مدیران واتساپ اخیراً در بنری تبلیغاتی در یکی از ایستگاه‌های قطار نیویورک به اپل و سرویس آی‌مسیج حمله کرده‌اند.

واتساپ می‌گوید شماری از دولت‌ها در تلاشند شرکت‌های حوزه‌ی فناوری را تحت فشار بگذارند تا بفهمند که افراد در سرویس‌های پیام‌رسان چه پیام‌هایی ارسال می‌کنند. این مفهوم در دنیای وب اصطلاحاً «پایش‌پذیری» نامیده می‌شود و واتساپ خودش را مخالف آن می‌داند.

متخصصان حوزه‌ی فناوری و حریم خصوصی صراحتاً گفته‌اند پایش‌پذیری باعث از بین رفتن رمزنگاری سرتاسری می‌شود و حریم خصوصی میلیاردها آدمی را که به‌صورت دیجیتالی با هم ارتباط برقرار می‌کنند، شدیداً به خطر می‌اندازد.

به عقیده‌ی واتساپ، هرچه زمان می‌گذرد دنیای ما دیجیتالی‌تر می‌شود و به همین دلیل لازم است که مقرراتی معقول و متناسب با شرایط در نظر گرفته شود، اما پایش‌پذیری نه‌تنها حریم خصوصی و حقوق بشر را نقض می‌کند بلکه افراد بی‌گناه را درمعرض خطر قرار می‌دهد.

واتساپ می‌گوید متعهد است با تمام توانش از پیام‌های خصوصی کاربران محافظت کند و به همین دلیل یکی از مخالفان سرسخت مفهوم پایش‌پذیری است.

به موجب پیاده‌سازی سیستم رمزنگاری سرتاسری، پیام‌ها و تصاویر و ویدیوها توسط هیچ‌کس به غیر افرادی که در صفحه‌ی چت حضور دارند قابل‌رؤیت نیست، اما مفهوم پایش‌پذیری در تلاش است مشخص کند افراد چه حرف‌هایی در سرویس‌های پیام‌رسان می‌زنند و چه محتواهایی را با یکدیگر به اشتراک می‌گذارند. طرفداران این مفهوم می‌گویند که سرویس‌های پیام‌رسان باید پیام‌ها را به‌طور کامل ذخیره کنند تا بتوان روی محتوای پیام‌های مردم تحقیق انجام داد. این عملاً نقض مستقیم سیستم رمزنگاری سرتاسری است.

به گفته‌ی واتساپ، به‌منظور پایش تنها یک پیام، سرویس‌های پیام‌رسان مجبورند یکایک پیام‌ها را پایش کنند، چون نمی‌توان پیش‌بینی کرد که دولت‌ها در آینده سراغ جزئیات کدام پیام را می‌گیرند. واتساپ می‌گوید کسانی که موافق مفهوم پایش‌پذیری هستند عملاً قصد دارند نوعی برنامه‌ی نظارت جمعی جدید راه بیاندازند. سرویس‌های پیام‌رسان برای تبعیت از این قانون مجبورند دیتابیس عظیمی از تمامی پیام‌هایی که ارسال می‌کنید بسازند. در این شرایط شرکت‌ها بیشترین اطلاعات ممکن را درباره‌ی کاربران‌شان جمع‌آوری می‌کنند، آن هم در شرایطی که بسیاری از مردم تمایلی به پایش شدن اطلاعات‌شان در فضای آنلاین ندارند.

مفهوم پایش‌پذیری می‌گوید شرکت‌های خصوصی مثل واتساپ موظف‌اند اسم فردی را که محتوای به‌خصوصی با بقیه به اشتراک گذاشته است ارائه دهند، حتی اگر آن فرد محتوا را تولید نکرده و صرفاً از روی نگرانی آن را برای بقیه فرستاده باشد. این رویکرد باعث می‌شود که افراد بی‌گناه درگیر روندهای تحقیقاتی شوند و حتی به زندان محکوم شوند، آن هم به دلیل اشتراک‌گذاری محتوایی که بعدا از نگاه دولت، ناقض قوانین است. بدین ترتیب هر چیزی که در فضای آنلاین بنویسید ممکن است عاملی برای به‌دردسر افتادن شما باشد و این یعنی نقض حریم خصوصی.

واتساپ می‌گوید به اقدامات پر اهمیتی که نهادهای مجری قانون برای ایمن نگه داشتن مردم انجام می‌دهند احترام می‌گذارد و به همین دلیل تیمی اختصاصی برای بررسی و پاسخ‌دهی به درخواست‌های رسمی از سوی نهادهای قانونی دارد. واتساپ صراحتاً می‌گوید در صورت لزوم اطلاعاتِ محدودی را که دراختیار دارد، مطابق با قوانین و سیاست‌هایش، به نهادهای قانونی ارائه می‌دهد.

واتساپ تیم دیگری دارد که اعضای آن به‌صورت ۲۴ ساعته در حالی همکاری با نهادهای مجری قانون هستند تا پرونده‌هایی مثل تهدیدهای جدیِ قریب‌الوقوع یا احتمال آسیب فیزیکی شدید افراد سریعاً مورد بررسی قرار بگیرد. این سیاست فقط منحصربه واتساپ نیست. بسیاری از شرکت‌های حوزه‌ی فناوری در صورت لزوم اطلاعاتی از کاربران را دراختیار سازمان‌های دولتی قرار می‌دهند.

به همان شیوه‌ای که بستن کمربند ایمنی، سالم ماندن شما در خودرو را تضمین نمی‌کند، امنیت ۱۰۰ درصدی مفهومی بی‌معنا در دنیای آنلاین است. واتساپ پراستفاده‌ترین پیام‌رسان دنیا است، اما لزوماً محبوب‌ترین پیام‌رسان به‌حساب نمی‌آید، چون سابقه‌ی خوبی در زمینه‌ی حفظ امنیت ندارد.

در نظر داشته باشید حتی با وجود رعایت تمامی جوانب امنیتی، اگر از دستگاهی که به بدافزار آلوده باشد استفاده کنید، خطر شنود پیام‌هایتان را به جان می‌خرید. بنابراین صرفِ توجه به پیام‌رسان، عاقلانه نیست. باید از نصب نرم‌افزار ازطریق منابع غیررسمی خودداری کنید. همچنین به هنگام نصب اپلیکیشن‌ها، به فهرست دسترسی‌ها دقت کنید. چرا باید یک بازی موبایلی خواستار دسترسی به گالری یا فهرست مخاطبان باشد؟

امنیت پیام‌هایی که در واتساپ می‌فرستید بیشتر از اکثر پلتفرم‌ها است، چون واتساپ از رمزنگاری سرتاسری پشتیبانی می‌کند. اساساً اگر روی گوشی خود بدافزار نداشته باشید، امکان شنود واتساپ و فهمیدن جزئیات پیام‌ها وجود ندارد. با این‌وجود توصیه می‌کنیم هیچ پلتفرمی را به‌طور کامل ایمن به‌حساب نیاورید و قبل از فرستادن پیامی که ممکن است دردسرساز شود این جمله را به خود یادآوری کنید: «امنیت ۱۰۰ درصدی در فضای مجازی، مفهومی مضحک است.»