حفره امنیتی واتساپ شنود پیام های رمزگذاری شده را امکان پذیر می کند

فیس‌بوک مدعی است که نمی‌توان به‌هیچ‌وجه پیام‌های کدگذاری شده رد و بدل شده در سرویس واتساپ را شنود کرد. بر اساس اطلاعات ارائه‌شده توسط فیس‌بوک، جاسوسی پیام‌های کدگذاری شده حتی توسط کارکنان این کمپانی نیز قابل انجام نیست؛ اما یک تحقیق جدید نشان از این دارد که این کمپانی به‌راحتی قادر است پیام‌های کدگذاری شده به‌صورت دوطرفه (end-to-end Encryption) را شنود کند.

متخصصان امنیتی وجود یک حفره‌ی امنیتی را خطری بزرگ برای آزادی بیان خوانده‌اند؛ چراکه به اعتقاد این افراد، آژانس‌های دولتی نیز می‌توانند با استفاده از این رخنه‌ی امنیتی پیام‌های کاربرانی را که با تصور امن بودن اقدام به ارسال آن‌ها می‌کنند، جاسوسی و از آن سوءاستفاده کنند.

امنیت را باید اصلی‌ترین نقطه‌ی قوت واتساپ خواند که از این‌رو مورد استفاده‌ی بسیاری از کاربرانِ حساس به حفظ حریم خصوصی قرار گرفته است.

بر اساس اطلاعات ارائه‌شده توسط گاردین، یک حمله‌ی هکری پیشرفته و پیچیده به سرورهای واتساپ، می‌تواند رمزگذاری پیام‌های این سرویس را بی‌اثر کند. در صورتی که هکر مورد نظر بتواند به سرورهای واتساپ دسترسی پیدا کند؛ قادر است با عوض کردن کلید‌های رمزنگاری‌شده، خود را به‌عنوان یک گیرنده‌ی دیگر پیام قرار دهد، به‌طوری‌که این هکر قادر خواهد بود به‌عنوان نفر سوم در وسط یک ارتباط امن قرار بگیرد و پیام‌های رد و بدل شده را بدون اطلاع کاربرانی که با فرض کارکرد صحیح رمزنگاری در حال گفتگو هستند، شنود کند. در این بین، گیرنده‌ی پیام به‌هیچ‌وجه از تغییرات اعمال‌شده مطلع نخواهد بود، حال آنکه ارسال‌کننده‌ی پیام در صورت فعال کردن Show Security Notifications در قسمت تنظیمات، اخطاری دریافت خواهد کرد.

این روزنه‌ی امنیتی توسط توبیاس بوِلتر، رمزنگار و محقق امنیتی در دانشگاه برکلی کالیفرنیا کشف شده است. وی در این خصوص می‌گوید:

در صورتی که آژانس‌های امنیتی از واتساپ بخواهند دسترسی به شنود اطلاعات را در اختیار آن‌ها قرار دهد، این پیام‌رسان قادر است با استفاده از این رخنه‌ی امنیتی اقدام به این کار کند.

البته باید به این نکته اشاره کرد که این روزنه‌ی امنیتی از پروتکل موسوم به Signal که در واتساپ برای رمزنگاری مورد استفاده قرار گرفته است، ناشی نمی‌شود. اپلیکیشن پیام‌رسان گروه نرم‌افزاری Open Whisper Systems که سیگنال نام دارد و توسط ادوارد اسنودن نیز پیشنهاد شده است، به دلیل بهره‌گیری از پروتکلی به همین نام، از این مشکل رنج نمی‌برد. در این پیام‌رسان، در صورتی که گیرنده کلید مورد استفاده برای رمزگشایی را در زمان آفلاین بودن تغییر دهد، ارسال پیام با شکست روبرو خواهد شد. در این شرایط، فرستنده‌ی مطلب نیز از تغییر کلید مورد استفاده توسط گیرنده مطلع می‌شود و پیام به‌صورت خودکار دوباره ارسال نمی‌شود. واتساپ پیام‌های ارسال نشده را بدون اطلاع فرستنده، حتی در صورت تغییر کلید گیرنده به‌صورت خودکار از نو ارسال می‌کند.

بوِلتر اعلام کرده است که وجود این مشکل امنیتی را در ماه آوریل ۲۰۱۶ به اطلاع فیس‌بوک رسانده، اما این کمپانی اقدامی در راستای برطرف کردن آن انجام نداده است. گاردین در تأیید ادعای بوِلتر، وجود این روزنه‌ی امنیتی را تأیید می‌کند.

سخنگوی واتساپ در واکنش به اخبار منتشرشده، به گاردین گفته است که بیش از یک میلیارد نفر در سراسر جهان از سرویس واتساپ استفاده می‌کنند، چراکه واتساپ سرویسی امن و قابل اعتماد است. وی به این نکته اشاره کرده که در پیاده‌سازی پروتکل Signal توسط واتساپ، گزینه‌ی Show Security Notofocations در قسمت Security تنظیمات قرار داده شده است تا از این طریق، کاربران با فعال کردن آن در صورت عوض شدن کلید مورد استفاده توسط گیرنده، مطلع شوند. تعویض کلید به دلایل متعددی اتفاق می‌افتد که از جمله‌ی آن می‌توان به تعویض گوشی هوشمند یا سیم‌کارت مورد استفاده اشاره کرد. به گفته‌ی واتساپ، این پیام‌رسان نمی‌خواهد در چنین شرایطی پیام‌های ارسالی در بین راه گم‌ شوند و به دست گیرنده نرسند.

واتساپ به اخبار مطرح‌شده در رابطه با ایجاد یک Backdoor برای دسترسی آژانس‌های دولتی به پیام‌های رد و بدل شده نیز واکنش نشان داده و اعلام کرده است که این کمپانی هیچ‌گاه این امکان را برای سرویس‌های اطلاعاتی فراهم نکرده و علیه چنین درخواست‌هایی نیز مبارزه می‌کند.

پاول دوروف، مدیرعامل و بنیان‌گذار تلگرام در واکنش به روزنه‌ی موجود در واتساپ، کارشناسان امنیتی را خطاب قرار داده و آن‌ها را به دلیل تحسین واتساپ به دلیل به‌کارگیری امن‌ترین روش ارسال پیام به باد انتقاد گرفته است. وی واتساپ را یک سرویس در خدمت دولتمردان آمریکا خوانده است.

نگرانی‌های امنیتی در مورد واتساپ پس از تصاحب این کمپانی توسط فیس‌بوک بسیار افزایش یافته است. فیس‌بوک در سال ۲۰۱۵ اعلام کرد که اطلاعات حساب‌های کاربری فیس‌بوک و واتساپ را در راستای اهداف توسعه‌ و تبلیغاتی یکی می‌کند تا از این طریق بتواند به شماره تلفن‌های کاربران نیز دسترسی داشته باشد، اما بزرگ‌ترین شبکه‌ی اجتماعی جهان در نوامبر همان سال برنامه‌ی ادغام اطلاعات حساب‌های کاربری را در اثر انتقادات و فشارهای واردشده متوقف کرد.