جهرمی:
با یک تماس واتساپ، گوشی قابل هک است آیا واقعا واتساپ ناامن است؟
الف دانلود: محمدجواد آذری جهرمی، وزیر سابق ارتباطات می گوید واتساپ ناامن است و با یک تماس ساده هک می شود؛ اما واقعا چقدر از این ادعاها حقیقت دارد؟
به گزارش الف دانلود به نقل از خبر آنلاین و بر طبق گزارش زومیت، «با یک تماس ساده از راه واتساپ، گوشی قابل هک است» این ادعای محمدجواد آذری جهرمی، وزیر ارتباطات دولت دوازدهم در رابطه با ی ضعف های امنیتی واتساپ، موجی از بحث و تردید را برانگیخت. روزانه میلیاردها نفر برای ارتباطات شخصی و حتی کاری از پیام رسان ها استفاده می نمایند و طبیعی است که امنیت و حریم خصوصی این ابزارها زیر ذره بین باشد؛ اما واقعا چقدر از صحبت های جهرمی با حقیقت هم خوانی دارد؟
آیا واتساپ به آسانی با یک تماس تلفنی هک می شود یا این تصوری ساده انگارانه است؟ گزارش پیش رو با هدف روشن سازی حقایق و ارائه ی تحلیل بی طرفانه، اظهارات جهرمی را از منظر منابع معتبر و متخصصان امنیت سایبری مورد راستی آزمایی قرار می دهد؛ در ادامه با ما همراه باشید.
بررسی دقیق اظهارات جهرمی محمدجواد آذری جهرمی در مصاحبه ای با خبرگزاری دانشجو صراحتاً نسبت به امنیت واتساپ ابراز تردید کرد. او تاکید داشت که «واتساپ برای حفظ امنیت داخلی نرم افزار ضعیف است و حتی پاول دوروف، بنیان گذار تلگرام بارها این پیام رسان را به سخره گرفته»؛ وزیر سابق ارتباطات کشور ادعا نمود «واتساپ در مقابل تهاجمات سایبری مقاومت پایینی دارد و رژیم صهیونیستی قبل تر از همین بستر برای نفوذ بهره برده است».
وزیر سابق ارتباطات ادعا نمود «با یک تماس ساده از راه واتساپ می توان گوشی را هک کرد» که به شکلی به وجود حفره های امنیتی احتمالی در تماسهای واتساپ اشاره دارد. جهرمی همینطور تصریح کرد که بنا بر دستورالعمل های امنیتی، استفاده از واتساپ برای تبادل اطلاعات محرمانه توسط مسؤلان و نظامیان مجاز نیست و این ممنوعیت از گذشته ابلاغ شده؛ از دید او، واتساپ تهدید بالقوه ی امنیتی است و خصوصاً در شرایط جنگی، هرگونه ساده انگاری در رابطه با ی امنیت آن می تواند خطرناک باشد.
جهرمی به احتمال سوءاستفاده ی دولت آمریکا از داده های واتساپ هم اشاره می کند. وی می گوید واتساپ مدعی است که پیام ها را ذخیره نمی کند و فقط از «اطلاعات سایه» (احتمالاً متادیتا) بهره می گیرد؛ هرچند که تا حالا گزارش موثقی بر اساس نقض این ادعا توسط متا منتشر نشده؛ اما چون واتساپ زیرمجموعه ی یک شرکت آمریکایی است و طبق قوانین ایالات متحده فعالیت می کند، جهرمی تحلیل کرد که شاید تحت قوانین آن کشور، برای جاسوسی به کار گرفته شود؛ هرچند که او خود هم اذعان داشت که شواهدی دال بر چنین سوءاستفاده ای وجود ندارد.
به بیان دیگر، جهرمی نگرانی های حاکمیتی در رابطه با ی خدمات خارجی را یادآور شد؛ نگرانی از این که شاید دولت های بیگانه در شرایط خاص به داده های کاربران دسترسی پیدا کنند؛ حتی اگر هنوز مدرکی در این زمینه منتشر نشده باشد. آن چه از مجموع اظهارات جهرمی برمی آید، ترسیم تصویری تیره وتار از امنیت واتساپ است. دیدگاه جهرمی در قسمتی از موارد ریشه در حقیقت دارد؛ اما به نظر تمام حقیقت را منعکس نمی کند.
اظهارات جهرمی را می توان بر چهار محور متمرکز دانست: امکان هک شدن گوشی با یک تماس ساده ی واتساپ؛ ضعف نرم افزاری واتساپ و مقاومت پایین آن در مقابل حملات سایبری؛ استفاده ی «رژیم صهیونیستی» از واتساپ برای جاسوسی؛ انتقاد مکرر پاول دورف، مدیرعامل تلگرام از واتساپ؛ برای آنکه به صحت وسقم هریک از این موارد پی ببریم، باید آنها را زیر ذره بین قرار دهیم.
هک با «تماس ساده»؛ لطمه پذیری موقت، نه یک ضعف دائمی ادعای هک شدن گوشی هوشمند تنها با یک تماس واتساپ، به رویداد امنیتی واقعی و جدی در سال ۲۰۱۹ اشاره دارد. در ماه مه آن سال، یک لطمه پذیری بسیار خطرناک از نوع «حمله ی بدون کلیک» (Zero-Click) در واتساپ کشف شد که به مهاجم اجازه می داد بدون نیاز به هیچ نوع تعاملی از جانب قربانی، مانند کلیک روی یک لینک یا پاسخ به یک تماس، بدافزار جاسوسی را روی دستگاه او نصب کند. این حمله با سوءاستفاده از یک باگ در فرایند مدیریت تماسهای صوتی واتساپ، بدافزاری مانند پگاسوس را تزریق می کرد که توسط شرکت اسرائیلی NSO Group به دولت ها فروخته می شود.
واتساپ بعدها تأیید کرد که حمله ی Zero-Click سال ۲۰۱۹ به نفوذ بدافزار به ۱۴۰۰ دستگاه منجر گردید و برای همین، شرکت مادر (فیسبوک/متا) فوراً ضد NSO در دادگاه اقامه دعوی کرد گزارش آزمایشگاه سیتیزن لب هم نشان داد که این حفره ی امنیتی به پگاسوس اجازه می داد دوربین و میکروفون گوشی را مخفیانه فعال کند و به پیام ها، ایمیل ها و حتی موقعیت مکانی کاربر دسترسی یابد.
تیم امنیتی واتساپ به سرعت حفره را پیدا کرد و در عرض چند روز آنرا هم روی سرورها، هم در بروزرسانی های نرم افزاری برطرف کرد. به همین دلیل، لطمه پذیری واتساپ یک مشکل موقت بود، نه ضعفی دائمی در طراحی آنکه به سرعت مدیریت و حل شد. براستی، بیان این حقیقت بدون اشاره به زمینه ی زمانی آن، تصویری نادرست از وضعیت امنیتی فعلی واتساپ عرضه می کند.
رویکرد آقای جهرمی، تفاوت اساسی بین یک نقص موقت و یک ضعف دائمی در طراحی نرم افزار را نادیده می گیرد و بجای اطلاع رسانی دقیق، روی ترساندن مردم تمرکز می کند.
قدرت در مقابل تهدید؛ فراتر از تصور عمومی ادعای «ضعف نرم افزاری داخلی» واتساپ ساده سازی بیش از اندازه گمراه کننده ای است. امنیت هسته ی واتساپ بر پایه ی پروتکل سیگنال بنا شده که در صنعت رمزنگاری به عنوان استاندارد طلایی شناخته می شود. این پروتکل، رمزنگاری سرتاسری (E2EE) را برای تمام پیام ها، عکس ها، ویدیوها و تماس ها به شکل پیش فرض فعال می کند؛ بدین مفهوم که محتوای پیام ها از زمان ارسال تا زمان دریافت، رمزنگاری شده باقی می ماند و حتی خود واتساپ هم نمی تواند به آن دسترسی پیدا کند.
پروتکل به کاررفته در واتساپ از مکانیزم های پیشرفته ای مانند الگوریتم Double Ratchet هم استفاده می نماید که برای هر پیام یک کلید رمزنگاری جدید تولید می کند و تضمین می نماید که حتی اگر یک کلید در آینده به خطر بیفتد، پیام های قبلی همچنان امن باقی خواهند ماند.
با وجود زیرساخت ایمن واتساپ، تهدید واقعی برای کاربران اغلب از راه حملاتی است که رمزنگاری را دور می زنند، نه با شکستن آن؛ حملاتی مانند مهندسی اجتماعی، فیشینگ (ارسال لینک های مخرب) و جابه جایی سیمکارت (SIM Swapping) بجای نفوذ به نرم افزار، از خطاهای انسانی یا نقاط ضعف در سیستم عامل دستگاه بهره برداری می کنند؛ به عنوان مثال، یک هکر می تواند با فریب کاربر برای ارسال کد تأیید، حساب واتساپ او را در اختیار بگیرد.
بنابراین، ادعای «ضعف نرم افزار داخلی» در واتساپ، تفاوت میان یک لطمه پذیری فنی موقت و یک نقص در زیرساخت رمزنگاری را نادیده می گیرد. در حقیقت، واتساپ یک بستر امن با یک پروتکل رمزنگاری قوی است؛ اما امنیت واتساپ نمی تواند از کاربر در مقابل خطای انسانی یا از سیستم عامل در مقابل حملات بسیار پیچیده ی دولتی محافظت کند.
جاسوسی دولتی؛ ابزار، نه پلتفرم اظهارنظر در رابطه با استفاده ی یک «رژیم» از واتساپ برای جاسوسی، در حقیقت ریشه دارد؛ اما ابزار جاسوسی نه خود واتساپ؛ بلکه بدافزار پگاسوس بوده؛ این بدافزار که به شکل انحصاری به دولت ها فروخته می شود، برای هدف قرار دادن فعالان حقوق بشر و روزنامه نگاران در سرتاسر جهان استفاده شده؛ بدافزار پگاسوس از لطمه پذیری های موقتی مانند حفره ی امنیتی سال ۲۰۱۹ واتساپ برای نفوذ به دستگاه ها بهره برده است.
موضع واتساپ در قبال درخواست های دولتی هم تفاوت های کلیدی و فاحشی را نشان میدهد. این شرکت یک تیم تخصصی به نام Law Enforcement Response Team (LERT) دارد که هر درخواست دولتی را به شکل موردی بررسی می کند تا از قانونی بودن آن اطمینان حاصل کند. به سبب وجود رمزنگاری سرتاسری، واتساپ به صراحت اعلام نموده است که «نمی تواند محتوای پیام های کاربران خودرا در جواب درخواست های دولتی ارائه دهد»؛ اما در جواب حکم قانونی معتبر، می تواند فراداده ها (metadata) مانند اطلاعات حساب، تاریخ آخرین بازدید، آدرس IP و سوابق تراکنش را ارائه کند.
این تمایز حیاتی می باشد و نشان میدهد که جاسوسی در چنین مواردی از راه دور زدن و سوءاستفاده از پروتکلهای امنیتی انجام شده است، نه از راه همکاری واتساپ. واتساپ در سال ۲۰۲۰ حتی از شرکت NSO Group به سبب سوءاستفاده از پلت فرم خود شکایت نمود و در نهایت هم برنده ی دعوای حقوقی خود با NSO شد.
رقابت تجاری؛ انتقادات دوروف در مقابل حقیقت تلگرام ادعای وزیر سابق ارتباطات، بر اساس تمسخر واتساپ توسط پاول دورف، مدیرعامل تلگرام، کاملا دقیق است؛ دوروف به صورت علنی واتساپ را «تقلید ارزان» تلگرام خوانده و ادعا کرده که این برنامه، «درهای پشتی» دارد. اظهارات دوروف قسمتی از رقابت تجاری آشکار میان تلگرام و واتساپ بشمار می رود.
در ادامه به تفاوت واتساپ با دو پیام رسان بزرگ رقیب هم می پردازیم.
واتساپ در بین پیام رسان ها بررسی دقیق مدل امنیتی خود تلگرام، تصویری پیچیده تر را نشان می دهد؛ درحالی که واتساپ رمزنگاری سرتاسری را به شکل پیش فرض برای تمام چت ها و تماس ها فعال کرده، تلگرام این توانایی را تنها به «چت های محرمانه» (Secret Chats) محدود می کند؛ ازاین رو بیشتر کاربران تلگرام در چت های عادی و گروهی خود، از لایه ی حیاتی امنیتی محروم هستند و پیام هایشان روی سرورهای تلگرام، رمزنگاری نشده ذخیره می شوند.
ویژگی
واتساپ
تلگرام
سیگنال
رمزنگاری سرتاسری (E2EE)
به شکل پیش فرض برای تمامی چت ها، تماس ها و وضعیت ها
فقط در «چت های محرمانه» و به شکل انتخابی
به شکل پیش فرض برای تمام ارتباطات
مدل مالکیت
شرکت انتفاعی (متا)
شرکت انتفاعی (تحت مالکیت پاول دورف)
بنیاد غیرانتفاعی
جمع آوری فراداده (Metadata)
فراداده ها را جمع آوری و با متا به اشتراک می گذارد
فراداده ها را جمع آوری می کند (بیشتر از سیگنال)
حداقل داده ها را جمع آوری می کند
شفافیت کد منبع
بسته (غیرقابل بررسی)
بسته برای سرور، باز برای برنامه کاربر
به صورت کامل متن باز و قابل بررسی
ویژگی های امنیتی پیشرفته
محدود (مانند مخفی کردن آخرین بازدید)
امکان حذف پیام از دو طرف و پیام های خودنابودشونده
قابلیت های پیشرفته مانند Call Relay برای مخفی کردن IP
سیگنال به سبب مدل غیرانتفاعی، جمع آوری حداقل داده ها و متن باز بودن کامل، اغلب به عنوان امن ترین پیام رسان برای حریم خصوصی درنظر گرفته می شود. این برنامه برعکس واتساپ، فراداده ها را محافظت می کند و از راه قابلیتی به نام Sealed Sender، اطلاعاتی مانند زمان و گیرنده ی پیام را مخفی نگه می دارد. همچنین، سیگنال امکانات بیشتری برای سفارشی سازی تنظیمات حریم خصوصی، مانند قابلیت Call Relay برای مخفی کردن آدرس IP کاربران در طول تماس، عرضه می کند که واتساپ فاقد آنست.
واتساپ با وجود استفاده از پروتکل رمزنگاری قوی، به سبب جمع آوری فراداده و وابستگی به شرکت، نگرانی هایی را بوجود می آورد. در مقابل، تلگرام با وجود انتقادهای شدید به رقبای خود، به سبب عدم فعال سازی پیش فرض رمزنگاری سرتاسری و خصوصی بودن کد سرور، در رتبه ی پایین تری از نظر امنیت قرار می گیرد. سرانجام، انتخاب پیام رسان به مدل تهدیدات و سطح حساسیت اطلاعاتی هر فرد بستگی دارد.
مسئولیت امنیت دیجیتال با ماست تحلیل جامع اظهارات وزیر سابق ارتباطات نشان میدهد که ادعاهای او درحالی که ریشه در رخدادهای واقعی دارند، تصویر ناقصی از امنیت واتساپ ارائه می دهند. این روایت، تفاوت حیاتی میان یک لطمه پذیری موقت در نرم افزار و یک ضعف بنیادین در زیرساخت رمزنگاری را نادیده می گیرد و بجای آن، از حقایق گزینشی برای خلق یک روایت مشخص استفاده می نماید.
واتساپ بستری امن با پروتکل رمزنگاری قوی است؛ اما این امنیت نمی تواند از کاربر در مقابل خطای انسانی یا از سیستم عامل در مقابل حملات بسیار پیچیده ی دولتی محافظت کند. برای کاربران عادی، بروزرسانی منظم برنامه، فعال کردن تدابیر امنیتی مانند تأیید هویت دو مرحله ای و هوشیاری در مقابل کلاهبرداری ها و لینک های مشکوک، مهم ترین اقدامات امنیتی هستند. در سوی دیگر، هیچ تردیدی وجود ندارد که سازمان ها نباید از نرم افزار چت عمومی برای انتقال اطلاعات مهم بهره گیرند.
سرانجام، در فضای مجازی امروز، مسئولیت اصلی امنیت دیجیتال بر دوش خود کاربران است.
منبع: الف دانلود
این پست الف دانلود را می پسندید؟
(0)
(0)
تازه ترین پستهای مرتبط
نظرات خوانندگان الف دانلود در مورد این مطلب