رخنه امنیتی در واتس‌اپ

گاردین در گزارش خود نوشته است که چند روز قبل آشکار شد مهاجمانی توانستند یک آسیب‌پذیری امنیتی در واتس‌اپ بیابند و با استفاده از آن برای تجسس در حساب کاربری افراد بهره‌برداری کنند. این آسیب‌پذیری در اجرای خدمات رمزگذاری دو طرفه رخ داد که قرار است هر کاری در آن صورت بگیرد اما خواندن پیام‌ها برای افرادی غیر از فرستنده و گیرنده مورد نظر غیرممکن باشد.

این مشکل ناشی از توانایی واتس‌اپ برای ایجاد کلیدهای رمزگذاری جدید برای کاربران آنلاین است. این کار برای ابزارهای ارتباطی امن شایع است، اما واتس‌اپ توسط تصمیم خود مبنی بر رمزگذاری دوباره پیام‌ها با کلیدهای جدید بدون اطلاع فرستنده یا گیرنده از این کار ایزوله شده است.

این کار می‌تواند به دیگران اجازه دهد ارتباطات را رهگیری کنند بدون اینکه هیچ نشانه‌ای از حضور در گفت‌وگو داشته باشند. بنابراین واتس‌اپ با این کار به طور موثر اصل اساسی رمزگذاری دوطرفه را تضعیف کرده است.

واکنش بیش از حد به این موضوع می‌تواند آسان باشد. البته واتس‌اپ یک «در پشتی» (راهی که با استفاده از آن بدون اجازه به قسمت‌های مشخصی از یک سامانه دست پیدا کرد) به خدمات خود اضافه نکرده است، ادعایی که یکی از بنیانگذاران این شرکت به صورت عموم مطرح کرد و گفت واتس‌اپ همواره از هرگونه درخواست دولت برای ایجاد یک در پشتی مبارزه می‌کند.

این آسیب‌پذیری البته در حدی بحرانی نیست که مردم این برنامه را از دستگاه‌های خود حذف کنند. کاربران نگران می‌توانند هویت افراد را با مقایسه «اثر انگشت» مربوط با کلید خود بررسی کنند و همچنین می‌توانند تنظیماتی فعال کنند که هنگامی که یک پیام با یک کلید جدید دوباره رمزگذاری شده، به آنها اطلاع‌رسانی شود.

مسدود کردن پیام‌ها و رفع مسدودی

با این حال همچنان ماهیت این اطلاعیه‌ها مورد سوال است؛ دو گزینه وجود دارد، مسدود کردن و یا حل مشکل مسدودی که نیاز دارد، کاربران به صورت دستی مشخص کنند که یک کلید جدید قانونی است و یا به سادگی کاربر را زمانی که یک کلید تغییر کرد، آگاه کند.

راهکار واتس‌اپ غیرمسدود کردن است. سیگنال، ابزار پیام‌رسانی رمزگذاری‌شده Open Whisper Systems یاOWS که پروتکل رمزگذاری دوطرفه آن در واتس‌اپ، مسنجر و برنامه‌های دیگر مورد استفاده قرار می‌گیرد، از مسدود کردن اطلاعیه‌ها استفاده می‌کند.

یکی از کارمندان OWS می‌گوید: سیگنال برنامه‌ریزی کرده تا از مسدود کردن اطلاعیه‌ها به عنوان یک گزینه برای برخی از کاربران استفاده کند. غیرمسدود کردن اطلاعیه‌ها نیز به طور پیش‌فرض اجرا می‌شود.

او می‌گوید: بازخوردی که ما دریافت کردیم این است که بسیاری از کاربران ما نمی‌خواهند پیام‌هایشان مسدود شود. آنچه آنها می‌خواهند تنها توانایی بررسی یکپارچگی ارتباطات خود است و اینکه ببینند این اتفاقات چه زمانی رخ می‌دهد اما آنها نمی‌خواهند گردش کار عادی‌شان قطع شود.

این موضوع هم گزارش را به ریشه این مشکل برمی‌گرداند، اینکه آیا اولویت برنامه‌های پیام‌رسانی باید آسودگی باشد و یا امنیت؟

موکسی مارلین‌اسپایک، یکی از افسران ارشد فناوری در  بخش ارائه‌دهنده ارتباطات امن پیام‌رسان پیام‌رسان وایر، می‌گوید: این موضوع واقعا به ارائه‌دهنده سرویس و میزان خطری که می‌خواهد بپذیرد بستگی دارد.

برای واتس‌اپ نسبتا دشوار است در حالی که یک میلیارد کاربر دارد، از مسدود کردن پیام‌ها استفاده کند و با ادامه کار همان‌طور که واتس‌اپ انجام داده است، تجارتی با به خطر انداختن امنیت کاربران انجام می‌دهد. از سوی دیگر وایر با ارزش نهادن و توجه به امنیت بیشتر از آسودگی، رویکردی متفاوت در پیش گرفته است.

برخی از برنامه‌های پیام‌رسانی از واتس‌اپ پیروی می‌کنند و کاربران را از تغییرات کلیدی پیش‌فرض آگاه نمی‌کنند. برخی دیگر مانند وایر پیامی را با کلیدهای جدید و بدون رضایت کاربر به افراد ارسال نمی‌کنند. این شرکت‌ها بدون توجه به تصمیمی که اتخاذ کنند با انتقاد روبه‌رو می‌شوند.

کاربران واتس‌اپ ممکن است نگران باشند که پیام‌هایشان امنیت ندارد، کاربران وایر نیز ممکن است از افزایش اطلاعیه‌های امنیتی خسته شوند و رویکرد خود را بر اساس بازخورد کاربران، همان‌طور که OWS با نرم‌افزار سیگنال انجام می‌دهد، تغییر دهند.

هیچ پاسخ درست یا غلطی وجود ندارد. این پاسخ می‌تواند برای دیگر تصمیم‌ها مانند سرویس «الو» گوگل و «مکالمات محرمانه» فیس‌بوک مسنجر نیز گفته شود که از رمزگذاری دوطرفه به طور پیش‌فرض استفاده نمی‌کنند و شرکت‌ها می‌گویند این کار به آنها امکان ارائه ویژگی‌هایی را می‌دهد که در غیر این صورت ممکن نخواهد بود.

همچنین برنامه‌هایی که به طور پیش‌فرض از رمزگذاری استفاده می‌کنند، مانند سیگنال و وایر، نیاز دارند مردم را که مایل به برقراری ارتباط با دیگران هستند متقاعد کنند پیام‌رسان خود را به یک ابزار  ناآشنا تغییر دهند.

 باید در مورد آسیب‌پذیری رمزگذاری واتس‌اپ نگران باشیم؟

شرکت‌ها رویکردهای مختلفی در برابر یک مشکل مشابه دارند؛ واتس‌اپ باید انتخاب کند که یک میلیارد کاربر داشته باشد که هنگام مکالمه کسی مزاحم آنها نشود و یا اینکه هر زمان یک کلید امنیتی تغییر کرد به آنها اطلاع دهد.

گوگل باید تلاش کرده و با این اشتیاق که ویژگی‌هایی ارائه دهد که بتواند به تازه‌واردی مانند الو برای رقابت با خدمات دیگر کند کمک کند، مردم را ایمن‌تر کند. حتی برنامه‌هایی که به حریم خصوصی توجه بیشتری می‌دهند نیز باید طراحی‌های خود را با در ذهن داشتن کاربران انجام دهند.

باید توجه داشت که در بازار ارتباطات ایمن هیچ مکانیزم یکسانی برای همه برنامه‌ها وجود ندارد. البته سرویس‌ها باید تصمیم بگیرند که می‌خواهند چه مشکلاتی را حل کنند تا بدین ترتیب مصرف‌کنندگان بتوانند بهترین برنامه را متناسب با نیازهای خود انتخاب کنند. در حال حاضر برنامه‌های زیادی از رمزگذاری دوطرفه پشتیبانی می‌کنند و حتی اگر هیچ‌کدام از آنها کامل و بی‌نقص نباشند، این بدان معناست که ارتباطات خصوصی امن‌تر از قبل هستند. البته مشکلات متعددی نیز وجود دارند که باید با دقت در نظر گرفته شوند و درباره آنها ساده‌انگاری نشود.

مارلین‌اسپایک می‌گوید: واتس‌اپ یک طراحی بسیار خوب و قابل توجه انجام داده است و با موفقیت آن را به بزرگترین شبکه رمزگذاری دوطرفه گسترش داده است. پرداختن به مسائل بهترین تجربه کاربر و اینکه چگونه باید در مورد این مشکلات فکر کنیم با این  کار که از در پشتی نام ببریم و به همه افراد بگوییم که واتس‌اپ را حذف کنند، آسیب‌های بسیار بیشتری نسبت به فواید آن خواهد داشت.

این کار باعث می‌شود مردم به دانلود برنامه‌های دیگر اقدام کنند که اهمیت کمتری به ایمنی می‌دهند و از توجه و مراقبت کمتری بهره می‌برند که کاربران کمتر قادر به ارزیابی آن هستند.

پیام رسان- ف م