جهرمی:
با یک تماس واتساپ، گوشی قابل هک است آیا واقعا واتساپ ناامن است؟
به گزارش آزینیک، محمدجواد آذری جهرمی، وزیر سابق ارتباطات می گوید واتساپ ناامن است و با یک تماس ساده هک می شود؛ اما واقعا چقدر از این ادعاها حقیقت دارد؟
به گزارش آزینیک به نقل از خبر آنلاین و بر طبق گزارش زومیت، «با یک تماس ساده از راه واتساپ، گوشی قابل هک است» این ادعای محمدجواد آذری جهرمی، وزیر ارتباطات دولت دوازدهم درباره ی ی ضعف های امنیتی واتساپ، موجی از بحث و تردید را برانگیخت. روزانه میلیاردها نفر برای ارتباطات شخصی و حتی کاری از پیام رسان ها استفاده می نمایند و طبیعی است که امنیت و حریم خصوصی این ابزارها زیر ذره بین باشد؛ اما واقعا چقدر از صحبت های جهرمی با واقعیت هم خوانی دارد؟
آیا واتساپ به آسانی با یک تماس تلفنی هک می شود یا این تصوری ساده انگارانه است؟ گزارش پیش رو با هدف روشن سازی حقایق و عرضه ی تحلیل بی طرفانه، اظهارات جهرمی را از منظر منابع معتبر و متخصصان امنیت سایبری مورد راستی آزمایی قرار می دهد؛ در ادامه با ما همراه باشید.
بررسی دقیق اظهارات جهرمی محمدجواد آذری جهرمی در مصاحبه ای با خبرگزاری دانشجو صراحتاً نسبت به امنیت واتساپ ابراز تردید کرد. او تاکید داشت که «واتساپ برای حفظ امنیت داخلی نرم افزار ضعیف است و حتی پاول دوروف، بنیان گذار تلگرام بارها این پیام رسان را به سخره گرفته»؛ وزیر سابق ارتباطات کشور ادعا نمود «واتساپ در مقابل تهاجمات سایبری مقاومت پایینی دارد و رژیم صهیونیستی قبل تر از همین بستر برای نفوذ بهره برده است».
وزیر سابق ارتباطات ادعا نمود «با یک تماس ساده از راه واتساپ میتوان گوشی را هک کرد» که به شکلی به وجود حفره های امنیتی احتمالی در تماسهای واتساپ اشاره دارد. جهرمی همین طور تصریح کرد که بنا بر دستورالعمل های امنیتی، استفاده از واتساپ برای تبادل اطلاعات محرمانه توسط مسؤلان و نظامیان مجاز نیست و این ممنوعیت از گذشته ابلاغ شده؛ از نگاه او، واتساپ تهدید بالقوه ی امنیتی است و بخصوص در وضعیت جنگی، هرگونه ساده انگاری درباره ی ی امنیت آن می تواند خطرناک باشد.
جهرمی به احتمال سوءاستفاده ی دولت آمریکا از داده های واتساپ نیز اشاره می کند. وی می گوید واتساپ مدعی است که پیام ها را ذخیره نمی کند و صرفا از «اطلاعات سایه» (احتمالاً متادیتا) بهره می گیرد؛ هرچند که تا حالا گزارش موثقی بر مبنای نقض این ادعا توسط متا منتشر نشده؛ اما چون واتساپ زیرمجموعه ی یک شرکت آمریکایی است و طبق قوانین ایالات متحده فعالیت می کند، جهرمی تحلیل کرد که شاید تحت قوانین آن کشور، برای جاسوسی به کار گرفته شود؛ هرچند که او خود نیز اذعان داشت که شواهدی دال بر چنین سوءاستفاده ای وجود ندارد.
به بیان دیگر، جهرمی نگرانی های حاکمیتی درباره ی ی سرویسهای خارجی را یادآور شد؛ نگرانی از این که شاید دولت های بیگانه در وضعیت خاص به داده های کاربران دسترسی پیدا کنند؛ حتی اگر هنوز مدرکی در این زمینه منتشر نشده باشد. آن چه از مجموع اظهارات جهرمی برمی آید، ترسیم تصویری تیره وتار از امنیت واتساپ است. دیدگاه جهرمی در بخشی از موارد ریشه در واقعیت دارد؛ اما به نظر تمام واقعیت را منعکس نمی کند.
اظهارات جهرمی را میتوان بر چهار محور متمرکز دانست: امکان هک شدن گوشی با یک تماس ساده ی واتساپ؛ ضعف نرم افزاری واتساپ و مقاومت پایین آن در مقابل حملات سایبری؛ استفاده ی «رژیم صهیونیستی» از واتساپ برای جاسوسی؛ انتقاد مکرر پاول دورف، مدیرعامل تلگرام از واتساپ؛ برای آنکه به صحت وسقم هریک از این موارد پی ببریم، باید آنها را زیر ذره بین قرار دهیم.
هک با «تماس ساده»؛ لطمه پذیری موقت، نه یک ضعف دائمی ادعای هک شدن گوشی هوشمند تنها با یک تماس واتساپ، به رویداد امنیتی واقعی و جدی در سال ۲۰۱۹ اشاره دارد. در ماه مه آن سال، یک لطمه پذیری بسیار خطرناک از نوع «حمله ی بدون کلیک» (Zero-Click) در واتساپ کشف شد که به مهاجم اجازه می داد بدون احتیاج به هیچ نوع تعاملی از طرف قربانی، مانند کلیک روی یک لینک یا پاسخ به یک تماس، بدافزار جاسوسی را روی دستگاه او نصب کند. این حمله با سوءاستفاده از یک باگ در پروسه مدیریت تماسهای صوتی واتساپ، بدافزاری مانند پگاسوس را تزریق می کرد که توسط شرکت اسرائیلی NSO Group به دولت ها فروخته می شود.
واتساپ بعدها تأیید کرد که حمله ی Zero-Click سال ۲۰۱۹ به نفوذ بدافزار به ۱۴۰۰ دستگاه منجر گردید و برای همین، شرکت مادر (فیسبوک/متا) فوراً مقابل NSO در دادگاه اقامه دعوی کرد گزارش آزمایشگاه سیتیزن لب نیز نشان داد که این حفره ی امنیتی به پگاسوس اجازه می داد دوربین و میکروفون گوشی را مخفیانه فعال کند و به پیام ها، ایمیل ها و حتی موقعیت مکانی کاربر دسترسی یابد.
تیم امنیتی واتساپ به سرعت حفره را پیدا کرد و در عرض چند روز آنرا هم روی سرورها، هم در بروزرسانی های نرم افزاری برطرف کرد. به همین دلیل، لطمه پذیری واتساپ یک مشکل موقت بود، نه ضعفی دائمی در طراحی آن که به سرعت مدیریت و حل شد. در حقیقت، بیان این حقیقت بدون اشاره به زمینه ی زمانی آن، تصویری ناصحیح از وضعیت امنیتی فعلی واتساپ عرضه می کند.
رویکرد آقای جهرمی، تفاوت اساسی بین یک نقص موقت و یک ضعف دائمی در طراحی نرم افزار را نادیده می گیرد و بجای اطلاع رسانی دقیق، روی ترساندن مردم تمرکز می کند.
قدرت در مقابل تهدید؛ فراتر از تصور عمومی ادعای «ضعف نرم افزاری داخلی» واتساپ ساده سازی بیش از اندازه گمراه کننده ای است. امنیت هسته ی واتساپ بر پایه ی پروتکل سیگنال بنا شده که در صنعت رمزنگاری بعنوان استاندارد طلایی شناخته می شود. این پروتکل، رمزنگاری سرتاسری (E2EE) را برای تمام پیام ها، عکس ها، ویدیوها و تماس ها به شکل پیش فرض فعال می کند؛ بدین مفهوم که محتوای پیام ها از زمان ارسال تا زمان دریافت، رمزنگاری شده باقی می ماند و حتی خود واتساپ نیز نمی تواند به آن دسترسی پیدا کند.
پروتکل به کاررفته در واتساپ از مکانیزم های پیشرفته ای مانند الگوریتم Double Ratchet نیز بهره می گیرد که برای هر پیام یک کلید رمزنگاری جدید تولید می کند و تضمین می نماید که حتی اگر یک کلید در آینده به خطر بیفتد، پیام های قبلی بازهم امن باقی خواهند ماند.
با وجود زیرساخت ایمن واتساپ، تهدید واقعی برای کاربران اغلب از راه حملاتی است که رمزنگاری را دور می زنند، نه با شکستن آن؛ حملاتی مانند مهندسی اجتماعی، فیشینگ (ارسال لینک های مخرب) و جابه جایی سیمکارت (SIM Swapping) بجای نفوذ به نرم افزار، از خطاهای انسانی یا نقاط ضعف در سیستم عامل دستگاه بهره برداری می کنند؛ بعنوان مثال، یک هکر می تواند با فریب کاربر برای ارسال کد تأیید، حساب واتساپ او را در اختیار بگیرد.
بنابراین، ادعای «ضعف نرم افزار داخلی» در واتساپ، تفاوت میان یک لطمه پذیری فنی موقت و یک نقص در زیرساخت رمزنگاری را نادیده می گیرد. در واقع، واتساپ یک بستر امن با یک پروتکل رمزنگاری قوی است؛ اما امنیت واتساپ نمی تواند از کاربر در مقابل خطای انسانی یا از سیستم عامل در مقابل حملات بسیار پیچیده ی دولتی محافظت کند.
جاسوسی دولتی؛ ابزار، نه پلتفرم اظهارنظر درباره ی استفاده ی یک «رژیم» از واتساپ برای جاسوسی، در واقعیت ریشه دارد؛ اما ابزار جاسوسی نه خود واتساپ؛ بلکه بدافزار پگاسوس بوده؛ این بدافزار که به شکل انحصاری به دولت ها فروخته می شود، برای هدف قرار دادن فعالان حقوق بشر و روزنامه نگاران در سرتاسر جهان استفاده شده؛ بدافزار پگاسوس از لطمه پذیری های موقتی مانند حفره ی امنیتی سال ۲۰۱۹ واتساپ برای نفوذ به دستگاه ها بهره برده است.
موضع واتساپ در برابر درخواست های دولتی نیز تفاوت های کلیدی و فاحشی را نشان داده است. این شرکت یک تیم تخصصی به نام Law Enforcement Response Team (LERT) دارد که هر درخواست دولتی را به شکل موردی بررسی می کند تا از قانونی بودن آن اطمینان حاصل کند. به علت وجود رمزنگاری سرتاسری، واتساپ به صراحت اعلام نموده است که «نمی تواند محتوای پیام های کاربران خویش را در جواب درخواست های دولتی عرضه دهد»؛ اما در جواب حکم قانونی معتبر، می تواند فراداده ها (metadata) مانند اطلاعات حساب، تاریخ آخرین بازدید، آدرس IP و سوابق تراکنش را عرضه کند.
این تمایز حیاتیست و نشان داده است که جاسوسی در چنین مواردی از راه دور زدن و سوءاستفاده از پروتکلهای امنیتی انجام شده است، نه از راه همکاری واتساپ. واتساپ در سال ۲۰۲۰ حتی از شرکت NSO Group به علت سوءاستفاده از پلت فرم خود شکایت نمود و در نهایت نیز برنده ی دعوای حقوقی خود با NSO شد.
رقابت تجاری؛ انتقادات دوروف در مقابل واقعیت تلگرام ادعای وزیر سابق ارتباطات، بر مبنای تمسخر واتساپ توسط پاول دورف، مدیرعامل تلگرام، بطورکامل دقیق است؛ دوروف بطور علنی واتساپ را «تقلید ارزان» تلگرام خوانده و ادعا کرده که این برنامه، «درهای پشتی» دارد. اظهارات دوروف بخشی از رقابت تجاری آشکار میان تلگرام و واتساپ بشمار می رود.
در ادامه به تفاوت واتساپ با دو پیام رسان بزرگ رقیب هم می پردازیم.
واتساپ در بین پیام رسان ها بررسی دقیق مدل امنیتی خود تلگرام، تصویری پیچیده تر را نشان می دهد؛ درحالی که واتساپ رمزنگاری سرتاسری را به شکل پیش فرض برای تمام چت ها و تماس ها فعال کرده، تلگرام این توانایی را تنها به «چت های محرمانه» (Secret Chats) محدود می کند؛ ازاین رو بیشتر کاربران تلگرام در چت های عادی و گروهی خود، از لایه ی حیاتی امنیتی محروم هستند و پیام هایشان روی سرورهای تلگرام، رمزنگاری نشده ذخیره می شوند.
ویژگی
واتساپ
تلگرام
سیگنال
رمزنگاری سرتاسری (E2EE)
به شکل پیش فرض برای تمامی چت ها، تماس ها و وضعیت ها
فقط در «چت های محرمانه» و به شکل انتخابی
به شکل پیش فرض برای تمام ارتباطات
مدل مالکیت
شرکت انتفاعی (متا)
شرکت انتفاعی (تحت مالکیت پاول دورف)
بنیاد غیرانتفاعی
جمع آوری فراداده (Metadata)
فراداده ها را جمع آوری و با متا به اشتراک می گذارد
فراداده ها را جمع آوری می کند (بیشتر از سیگنال)
حداقل داده ها را جمع آوری می کند
شفافیت کد منبع
بسته (غیرقابل بررسی)
بسته برای سرور، باز برای برنامه کاربر
بطور کامل متن باز و قابل بررسی
ویژگی های امنیتی پیشرفته
محدود (مانند مخفی کردن آخرین بازدید)
امکان حذف پیام از دو طرف و پیام های خودنابودشونده
قابلیت های پیشرفته مانند Call Relay برای مخفی کردن IP
سیگنال به علت مدل غیرانتفاعی، جمع آوری حداقل داده ها و متن باز بودن کامل، اغلب بعنوان امن ترین پیام رسان برای حریم خصوصی درنظر گرفته می شود. این برنامه برخلاف واتساپ، فراداده ها را محافظت می کند و از راه قابلیتی به نام Sealed Sender، اطلاعاتی مانند زمان و گیرنده ی پیام را مخفی نگه می دارد. همچنین، سیگنال امکانات بیشتری برای سفارشی سازی تنظیمات حریم خصوصی، مانند قابلیت Call Relay برای مخفی کردن آدرس IP کاربران در طول تماس، عرضه می کند که واتساپ فاقد آنست.
واتساپ با وجود استفاده از پروتکل رمزنگاری قوی، به علت جمع آوری فراداده و وابستگی به شرکت، نگرانی هایی را بوجود می آورد. در مقابل، تلگرام با وجود انتقادهای شدید به رقبای خود، به علت عدم فعال سازی پیش فرض رمزنگاری سرتاسری و خصوصی بودن کد سرور، در رتبه ی پایین تری از نظر امنیت قرار می گیرد. سرانجام، انتخاب پیام رسان به مدل تهدیدات و سطح حساسیت اطلاعاتی هر فرد بستگی دارد.
مسئولیت امنیت دیجیتال با ماست تحلیل جامع اظهارات وزیر سابق ارتباطات نشان داده است که ادعاهای او درحالی که ریشه در رخدادهای واقعی دارند، تصویر ناقصی از امنیت واتساپ عرضه می دهند. این روایت، تفاوت حیاتی میان یک لطمه پذیری موقت در نرم افزار و یک ضعف بنیادین در زیرساخت رمزنگاری را نادیده می گیرد و بجای آن، از حقایق گزینشی برای خلق یک روایت مشخص بهره می گیرد.
واتساپ بستری امن با پروتکل رمزنگاری قوی است؛ اما این امنیت نمی تواند از کاربر در مقابل خطای انسانی یا از سیستم عامل در مقابل حملات بسیار پیچیده ی دولتی محافظت کند. برای کاربران عادی، بروزرسانی منظم برنامه، فعال کردن تدابیر امنیتی مانند تأیید هویت دو مرحله ای و هوشیاری در مقابل کلاهبرداری ها و لینک های مشکوک، مهم ترین اقدامات امنیتی هستند. در سوی دیگر، هیچ تردیدی وجود ندارد که سازمان ها نباید از نرم افزار چت عمومی برای انتقال اطلاعات مهم بهره گیرند.
سرانجام، در فضای مجازی امروز، مسئولیت اصلی امنیت دیجیتال بر دوش خود کاربران است.
این مطلب آزینیک را می پسندید؟
(0)
(0)
تازه ترین مطالب مرتبط آزینیک
نظرات خوانندگان آزینیک در مورد این مطلب
لطفا شما هم در مورد این مطلب نظر دهید