جهرمی:
با یک تماس واتساپ، گوشی قابل هک است آیا واقعا واتساپ ناامن است؟
اچ پی: به گزارش اچ پی، محمدجواد آذری جهرمی، وزیر سابق ارتباطات می گوید واتساپ ناامن است و با یک تماس ساده هک می شود؛ اما واقعا چقدر از این ادعاها حقیقت دارد؟
به گزارش اچ پی به نقل از خبر آنلاین و برپایه گزارش زومیت، «با یک تماس ساده بوسیله واتساپ، گوشی قابل هک است» این ادعای محمدجواد آذری جهرمی، وزیر ارتباطات دولت دوازدهم در رابطه با ی ضعف های امنیتی واتساپ، موجی از بحث و تردید را برانگیخت. روزانه میلیاردها نفر برای ارتباطات شخصی و حتی کاری از پیام رسان ها استفاده می نمایند و طبیعی است که امنیت و حریم خصوصی این ابزارها زیر ذره بین باشد؛ اما واقعا چقدر از صحبت های جهرمی با حقیقت هم خوانی دارد؟
آیا واتساپ به آسانی با یک تماس تلفنی هک می شود یا این تصوری ساده انگارانه است؟ گزارش پیش رو با هدف روشن سازی حقایق و ارائه ی تحلیل بی طرفانه، اظهارات جهرمی را از نظر منابع معتبر و متخصصان امنیت سایبری مورد راستی آزمایی قرار می دهد؛ در ادامه با ما همراه باشید.
بررسی دقیق اظهارات جهرمی محمدجواد آذری جهرمی در مصاحبه ای با خبرگزاری دانشجو صراحتاً نسبت به امنیت واتساپ ابراز تردید کرد. او تاکید داشت که «واتساپ برای حفظ امنیت داخلی نرم افزار ضعیف است و حتی پاول دوروف، بنیان گذار تلگرام بارها این پیام رسان را به سخره گرفته»؛ وزیر سابق ارتباطات کشور ادعا نمود «واتساپ در مقابل تهاجمات سایبری مقاومت پایینی دارد و رژیم صهیونیستی پیشتر از همین بستر برای نفوذ بهره برده است».
وزیر سابق ارتباطات ادعا نمود «با یک تماس ساده بوسیله واتساپ می توان گوشی را هک کرد» که به شکلی به وجود حفره های امنیتی احتمالی در تماسهای واتساپ اشاره دارد. جهرمی همینطور تصریح کرد که بنا بر دستورالعمل های امنیتی، استفاده از واتساپ برای تبادل اطلاعات محرمانه توسط مسئولان و نظامیان مجاز نیست و این ممنوعیت از گذشته ابلاغ شده؛ از دید او، واتساپ تهدید بالقوه ی امنیتی است و بخصوص در وضعیت جنگی، هرگونه ساده انگاری در رابطه با ی امنیت آن می تواند خطرناک باشد.
جهرمی به احتمال سوءاستفاده ی دولت آمریکا از داده های واتساپ نیز اشاره می کند. وی می گوید واتساپ مدعی است که پیام ها را ذخیره نمی کند و فقط از «اطلاعات سایه» (احتمالاً متادیتا) بهره می گیرد؛ هرچند که تابحال گزارش موثقی بر اساس نقض این ادعا توسط متا منتشر نشده؛ اما چون واتساپ زیرمجموعه ی یک شرکت آمریکایی است و طبق قوانین ایالات متحده فعالیت می کند، جهرمی تحلیل کرد که شاید تحت قوانین آن کشور، برای جاسوسی به کار گرفته شود؛ هرچند که او خود نیز اذعان داشت که شواهدی دال بر چنین سوءاستفاده ای وجود ندارد.
به بیان دیگر، جهرمی نگرانی های حاکمیتی در رابطه با ی سرویسهای خارجی را یادآور شد؛ نگرانی از این که شاید دولت های بیگانه در وضعیت خاص به داده های کاربران دسترسی پیدا کنند؛ حتی اگر هنوز مدرکی در این زمینه منتشر نشده باشد. آن چه از مجموع اظهارات جهرمی برمی آید، ترسیم تصویری تیره وتار از امنیت واتساپ است. دیدگاه جهرمی در قسمتی از موارد ریشه در حقیقت دارد؛ اما به نظر تمام حقیقت را منعکس نمی کند.
اظهارات جهرمی را می توان بر چهار محور متمرکز دانست: امکان هک شدن گوشی با یک تماس ساده ی واتساپ؛ ضعف نرم افزاری واتساپ و مقاومت پایین آن در مقابل حملات سایبری؛ استفاده ی «رژیم صهیونیستی» از واتساپ برای جاسوسی؛ انتقاد مکرر پاول دورف، مدیرعامل تلگرام از واتساپ؛ برای آنکه به صحت وسقم هریک از این موارد پی ببریم، باید آنها را زیر ذره بین قرار دهیم.
هک با «تماس ساده»؛ لطمه پذیری موقت، نه یک ضعف دائمی ادعای هک شدن گوشی هوشمند تنها با یک تماس واتساپ، به رویداد امنیتی واقعی و جدی در سال ۲۰۱۹ اشاره دارد. در ماه مه آن سال، یک لطمه پذیری بسیار خطرناک از نوع «حمله ی بدون کلیک» (Zero-Click) در واتساپ کشف شد که به مهاجم اجازه می داد بدون نیاز به هیچ گونه تعاملی از جانب قربانی، مانند کلیک روی یک لینک یا پاسخ به یک تماس، بدافزار جاسوسی را روی دستگاه او نصب کند. این حمله با سوءاستفاده از یک باگ در فرایند مدیریت تماسهای صوتی واتساپ، بدافزاری مانند پگاسوس را تزریق می کرد که توسط شرکت اسرائیلی NSO Group به دولت ها فروخته می شود.
واتساپ بعدها تأیید کرد که حمله ی Zero-Click سال ۲۰۱۹ به نفوذ بدافزار به ۱۴۰۰ دستگاه منجر گردید و برای همین، شرکت مادر (فیسبوک/متا) فوراً مقابل NSO در دادگاه اقامه دعوی کرد گزارش آزمایشگاه سیتیزن لب نیز نشان داد که این حفره ی امنیتی به پگاسوس اجازه می داد دوربین و میکروفون گوشی را مخفیانه فعال کند و به پیام ها، ایمیل ها و حتی موقعیت مکانی کاربر دسترسی یابد.
تیم امنیتی واتساپ به سرعت حفره را پیدا کرد و در عرض چند روز آنرا هم روی سرورها، هم در بروزرسانی های نرم افزاری برطرف کرد. به همین دلیل، لطمه پذیری واتساپ یک مشکل موقت بود، نه ضعفی دائمی در طراحی آنکه به سرعت مدیریت و حل شد. در حقیقت، بیان این حقیقت بدون اشاره به زمینه ی زمانی آن، تصویری نادرست از وضعیت امنیتی فعلی واتساپ ارائه می کند.
رویکرد آقای جهرمی، تفاوت اساسی بین یک نقص موقت و یک ضعف دائمی در طراحی نرم افزار را نادیده می گیرد و به جای اطلاع رسانی دقیق، روی ترساندن مردم تمرکز می کند.
قدرت در مقابل تهدید؛ فراتر از تصور عمومی ادعای «ضعف نرم افزاری داخلی» واتساپ ساده سازی بیش از اندازه گمراه کننده ای است. امنیت هسته ی واتساپ بر پایه ی پروتکل سیگنال بنا شده که در صنعت رمزنگاری بعنوان استاندارد طلایی شناخته می شود. این پروتکل، رمزنگاری سرتاسری (E2EE) را برای تمام پیام ها، عکس ها، ویدیوها و تماس ها به شکل پیش فرض فعال می کند؛ بدین مفهوم که محتوای پیام ها از زمان ارسال تا زمان دریافت، رمزنگاری شده باقی می ماند و حتی خود واتساپ نیز نمی تواند به آن دسترسی پیدا کند.
پروتکل به کاررفته در واتساپ از مکانیزم های پیشرفته ای مانند الگوریتم Double Ratchet نیز استفاده می نماید که برای هر پیام یک کلید رمزنگاری جدید تولید می کند و تضمین می نماید که حتی اگر یک کلید در آینده به خطر بیفتد، پیام های قبلی همچنان امن باقی خواهند ماند.
با وجود زیرساخت ایمن واتساپ، تهدید واقعی برای کاربران اغلب بوسیله حملاتی است که رمزنگاری را دور می زنند، نه با شکستن آن؛ حملاتی مانند مهندسی اجتماعی، فیشینگ (ارسال لینک های مخرب) و جابه جایی سیمکارت (SIM Swapping) به جای نفوذ به نرم افزار، از خطاهای انسانی یا نقاط ضعف در سیستم عامل دستگاه بهره برداری می کنند؛ بعنوان مثال، یک هکر می تواند با فریب کاربر برای ارسال کد تأیید، حساب واتساپ او را در اختیار بگیرد.
بنابراین، ادعای «ضعف نرم افزار داخلی» در واتساپ، تفاوت میان یک لطمه پذیری فنی موقت و یک نقص در زیرساخت رمزنگاری را نادیده می گیرد. در واقع، واتساپ یک بستر امن با یک پروتکل رمزنگاری قوی است؛ اما امنیت واتساپ نمی تواند از کاربر در مقابل خطای انسانی یا از سیستم عامل در مقابل حملات بسیار پیچیده ی دولتی محافظت کند.
جاسوسی دولتی؛ ابزار، نه پلتفرم اظهارنظر در رابطه با استفاده ی یک «رژیم» از واتساپ برای جاسوسی، در حقیقت ریشه دارد؛ اما ابزار جاسوسی نه خود واتساپ؛ بلکه بدافزار پگاسوس بوده؛ این بدافزار که به شکل انحصاری به دولت ها فروخته می شود، برای هدف قرار دادن فعالان حقوق بشر و روزنامه نگاران در سراسر دنیا استفاده شده؛ بدافزار پگاسوس از لطمه پذیری های موقتی مانند حفره ی امنیتی سال ۲۰۱۹ واتساپ برای نفوذ به دستگاه ها بهره برده است.
موضع واتساپ در قبال درخواست های دولتی نیز تفاوت های کلیدی و فاحشی را نشان داده است. این شرکت یک تیم تخصصی به نام Law Enforcement Response Team (LERT) دارد که هر درخواست دولتی را به شکل موردی بررسی می کند تا از قانونی بودن آن اطمینان حاصل کند. به سبب وجود رمزنگاری سرتاسری، واتساپ به صراحت اعلام نموده است که «نمی تواند محتوای پیام های کاربران خودرا در جواب درخواست های دولتی ارائه دهد»؛ اما در جواب حکم قانونی معتبر، می تواند فراداده ها (metadata) مانند اطلاعات حساب، تاریخ آخرین بازدید، آدرس IP و سوابق تراکنش را ارائه کند.
این تمایز حیاتیست و نشان داده است که جاسوسی در چنین مواردی بوسیله دور زدن و سوءاستفاده از پروتکلهای امنیتی صورت گرفته است، نه بوسیله همکاری واتساپ. واتساپ در سال ۲۰۲۰ حتی از شرکت NSO Group به سبب سوءاستفاده از پلت فرم خود شکایت نمود و در نهایت نیز برنده ی دعوای حقوقی خود با NSO شد.
رقابت تجاری؛ انتقادات دوروف در مقابل حقیقت تلگرام ادعای وزیر سابق ارتباطات، بر اساس تمسخر واتساپ توسط پاول دورف، مدیرعامل تلگرام، کاملا دقیق است؛ دوروف به صورت علنی واتساپ را «تقلید ارزان» تلگرام خوانده و ادعا کرده که این برنامه، «درهای پشتی» دارد. اظهارات دوروف قسمتی از رقابت تجاری آشکار میان تلگرام و واتساپ بشمار می رود.
در ادامه به تفاوت واتساپ با دو پیام رسان بزرگ رقیب هم می پردازیم.
واتساپ در بین پیام رسان ها بررسی دقیق مدل امنیتی خود تلگرام، تصویری پیچیده تر را نشان می دهد؛ درحالی که واتساپ رمزنگاری سرتاسری را به شکل پیش فرض برای تمام چت ها و تماس ها فعال کرده، تلگرام این توانایی را تنها به «چت های محرمانه» (Secret Chats) محدود می کند؛ ازاین رو بیشتر کاربران تلگرام در چت های عادی و گروهی خود، از لایه ی حیاتی امنیتی محروم هستند و پیام هایشان روی سرورهای تلگرام، رمزنگاری نشده ذخیره می شوند.
ویژگی
واتساپ
تلگرام
سیگنال
رمزنگاری سرتاسری (E2EE)
به شکل پیش فرض برای تمامی چت ها، تماس ها و وضعیت ها
فقط در «چت های محرمانه» و به شکل انتخابی
به شکل پیش فرض برای تمام ارتباطات
مدل مالکیت
شرکت انتفاعی (متا)
شرکت انتفاعی (تحت مالکیت پاول دورف)
بنیاد غیرانتفاعی
جمع آوری فراداده (Metadata)
فراداده ها را جمع آوری و با متا به اشتراک می گذارد
فراداده ها را جمع آوری می کند (بیشتر از سیگنال)
حداقل داده ها را جمع آوری می کند
شفافیت کد منبع
بسته (غیرقابل بررسی)
بسته برای سرور، باز برای برنامه کاربر
به صورت کامل متن باز و قابل بررسی
ویژگی های امنیتی پیشرفته
محدود (مانند مخفی کردن آخرین بازدید)
امکان حذف پیام از دو طرف و پیام های خودنابودشونده
قابلیت های پیشرفته مانند Call Relay برای مخفی کردن IP
سیگنال به سبب مدل غیرانتفاعی، جمع آوری حداقل داده ها و متن باز بودن کامل، اغلب بعنوان امن ترین پیام رسان برای حریم خصوصی درنظر گرفته می شود. این برنامه بر خلاف واتساپ، فراداده ها را محافظت می کند و بوسیله قابلیتی به نام Sealed Sender، اطلاعاتی مانند زمان و گیرنده ی پیام را مخفی نگه می دارد. همچنین، سیگنال امکانات بیشتری برای سفارشی سازی تنظیمات حریم خصوصی، مانند قابلیت Call Relay برای مخفی کردن آدرس IP کاربران در طول تماس، ارائه می کند که واتساپ فاقد آن است.
واتساپ با وجود استفاده از پروتکل رمزنگاری قوی، به سبب جمع آوری فراداده و وابستگی به شرکت، نگرانی هایی را بوجود می آورد. در مقابل، تلگرام با وجود انتقادهای شدید به رقبای خود، به سبب عدم فعال سازی پیش فرض رمزنگاری سرتاسری و خصوصی بودن کد سرور، در رتبه ی پایین تری از نظر امنیت قرار می گیرد. سرانجام، انتخاب پیام رسان به مدل تهدیدات و سطح حساسیت اطلاعاتی هر فرد بستگی دارد.
مسئولیت امنیت دیجیتال با ماست تحلیل جامع اظهارات وزیر سابق ارتباطات نشان داده است که ادعاهای او درحالی که ریشه در رخدادهای واقعی دارند، تصویر ناقصی از امنیت واتساپ ارائه می دهند. این روایت، تفاوت حیاتی میان یک لطمه پذیری موقت در نرم افزار و یک ضعف بنیادین در زیرساخت رمزنگاری را نادیده می گیرد و به جای آن، از حقایق گزینشی برای خلق یک روایت مشخص استفاده می نماید.
واتساپ بستری امن با پروتکل رمزنگاری قوی است؛ اما این امنیت نمی تواند از کاربر در مقابل خطای انسانی یا از سیستم عامل در مقابل حملات بسیار پیچیده ی دولتی محافظت کند. برای کاربران عادی، بروزرسانی منظم برنامه، فعال کردن تدابیر امنیتی مانند تأیید هویت دو مرحله ای و هوشیاری در مقابل کلاهبرداری ها و لینک های مشکوک، مهم ترین اقدامات امنیتی هستند. در سوی دیگر، هیچ تردیدی وجود ندارد که سازمان ها نباید از نرم افزار چت عمومی برای انتقال اطلاعات مهم استفاده نمایند.
سرانجام، در فضای مجازی امروز، مسئولیت اصلی امنیت دیجیتال بر دوش خود کاربران است.
حرف آخر اینکه در ماه مه آن سال، یک لطمه پذیری بسیار خطرناک از نوع حمله ی بدون کلیک (Zero-Click) در واتساپ کشف شد که به مهاجم اجازه می داد بدون احتیاج به هیچ نوع تعاملی از طرف قربانی، مانند کلیک روی یک لینک یا پاسخ به یک تماس، بدافزار جاسوسی را روی دستگاه او نصب کند. جاسوسی دولتی؛ ابزار، نه پلت فرم اظهارنظر در ارتباط با استفاده ی یک رژیم از واتساپ برای جاسوسی، در حقیقت ریشه دارد؛ اما ابزار جاسوسی نه خود واتساپ؛ بلکه بدافزار پگاسوس بوده؛ این بدافزار که بشکل انحصاری به دولت ها فروخته می شود، برای هدف قرار دادن فعالان حقوق بشر و روزنامه نگاران در سرتاسر دنیا استفاده شده؛ بدافزار پگاسوس از لطمه پذیری های موقتی مانند حفره ی امنیتی سال ۲۰۱۹ واتساپ برای نفوذ به دستگاهها بهره برده است. خصوصیت واتساپ تلگرام سیگنال رمزنگاری سرتاسری (E2EE) بشکل پیش فرض برای تمامی چت ها، تماس ها و وضعیت ها فقط در چت های محرمانه و بشکل انتخابی بشکل پیش فرض برای تمام ارتباطات مدل مالکیت شرکت انتفاعی (متا) شرکت انتفاعی (تحت مالکیت پاول دورف) بنیاد غیرانتفاعی جمع آوری فراداده (Metadata) فراداده ها را جمع آوری و با متا به اشتراک می گذارد فراداده ها را جمع آوری می کند (بیشتر از سیگنال) حداقل داده ها را جمع آوری می کند شفافیت کد منبع بسته (غیرقابل بررسی) بسته برای سرور، باز برای برنامه کاربر به شکل کامل متن باز و قابل بررسی خصوصیت های امنیتی پیشرفته محدود (مانند مخفی کردن آخرین بازدید) امکان حذف پیام از دو طرف و پیام های خودنابودشونده قابلیت های پیشرفته مانند Call Relay برای مخفی کردن IP سیگنال به جهت مدل غیرانتفاعی، جمع آوری حداقل داده ها و متن باز بودن کامل، اغلب به عنوان امن ترین پیامرسان برای حریم خصوصی در نظر گرفته می شود.
منبع: اچ پی
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب