حفره امنیتی واتساپ شنود پیام های رمزگذاری شده را امکان پذیر می کند

[ad_1]

کارشناسان امنیتی با اشاره به وجود یک حفره‌ی امنیتی در واتساپ، امکان شنود پیام‌های رمزنگاری شده در این سرویس را توسط آژانس‌های دولتی مورد انتقاد قرار دادند.

متخصصان امنیت سایبری از وجود حفره‌ای امنیتی در سرویس واتساپ خبر داده‌اند که آژانس‌های امنیتی دولتی و حتی خود فیسبوک را به عنوان کمپانی مادر واتساپ قادر می‌کند تا پیام‌های ارسالی به ظاهر رمزگذاری شده را شنود کنند، بدون اینکه کاربر اطلاعی از این موضوع داشته باشد.

فیسبوک مدعی است که نمی‌توان به هیچ وجه پیام‌های کدگذاری شده رد و بدل شده در سرویس واتساپ را شنود کرد. براساس اطلاعات ارائه شده توسط فیسبوک، جاسوسی پیام‌های کدگذاری شده حتی توسط کارکنان این کمپانی نیز قابل انجام نیست؛ اما یک تحقیق جدید نشان از این دارد که این کمپانی به راحتی قادر است تا پیام‌های کدگذاری شده بصورت دو طرفه (end-to-end Encryption) را شنود کند.

متخصصان امنیتی وجود یک حفره‌ی امنیتی را خطری بزرگ برای آزادی بیان خوانده‌اند، چراکه به اعتقاد این افراد آژانس‌های دولتی نیز می‌توانند با استفاده از این رخنه‌ی امنیتی پیام‌های کاربرانی را که با تصور امن بودن اقدام به ارسال آن‌ها می‌کنند، جاسوسی کرده و از آن سواستفاده کنند.

امنیت را باید اصلی‌ترین نقطه‌ی قوت واتساپ خواند که از این‌رو مورد استفاده‌ی بسیاری از کاربران با حساسیت نسبت به حفظ حریم خصوصی قرار گرفته است.

براساس اطلاعات ارائه شده توسط گاردین، یک حمله‌ی هکری پیشرفته و پیچیده به سرورهای واتساپ، می‌تواند رمزگذاری پیام‌های این سرویس را بی اثر کند. در صورتی که هکر مورد نظر بتواند به سرورهای واتساپ دسترسی پیدا کند، قادر است تا با عوض کردن کلید‌های رمزنگاری شده خود را به عنوان یک گیرنده‌ی دیگر پیام قرار دهد، بطوریکه این هکر قادر خواهد بود تا به عنوان نفر سوم در وسط یک ارتباط امن قرار گرفته و پیام‌های رد و بدل شده را بدون اطلاع کاربرانی که با فرض کارکرد صحیح رمزنگاری در حال گفتگو هستند، شنود کند. در این بین گیرنده‌ی پیام به هیچ وجه از تغییرات اعمال شده مطلع نخواهد بود، حال آنکه ارسال کننده‌ی پیام در صورت قعال کردن Show Security Notifications در قسمت تنظیمات، اخطاری را دریافت خواهد کرد.

این روزنه‌ی امنیتی توسط توبیاس بوِلنر، رمزنگار و محقق امنیتی در انشگاه برکلی کالیفرنیا کشف شده است. وی در این خصوص می‌گوید:

در صورتی که آژانس‌های امنیتی از واتساپ بخواهند تا دسترسی به شنود اطلاعات را در اختیار آن‌ها قرار دهد، این پیام‌رسان قادر است با استفاده از این رخنه‌ی امنیتی اقدام به این کار کند.

البته باید به این نکته اشاره کرد که این روزنه‌ی امنیتی از پروتکل موسوم به Signal که در واتساپ برای رمزنگاری مورد استفاده قرار گرفته، ناشی نمی‌شود. اپلیکیشن پیام‌رسان Open Whisper Systems که سیگنال نام داشته و توسط ادوارد اسنودن نیز برای استفاده پیشنهاد داده شده است، با وجود بهره‌گیری از پروتکلی به همین نام، از این مشکل رنج نمی‌برد. در این پیام‌رسان در صورتی که گیرنده کلید مورد استفاده برای رمزگشایی را در زمان آفلاین بودن تغییر دهد، ارسال پیام با شکست روبرو خواهد شد. در این شرایط، فرستنده‌ی مطلب نیز از تغییر کلید مورد استفاده توسط گیرنده مطلع شده و پیام بصورت خودکار دوباره ارسال نمی‌شود. واتساپ پیام‌های ارسال نشده را بدون اطلاع فرستنده در صورت تغییر کلید گیرنده نیز بصورت خودکار از نو ارسال می‌کند.

بوِلتر اعلام کرده که وجود این مشکل امنیتی را در ماه آوریل ۲۰۱۶ به اطلاع فیسبوک رسانده، اما این کمپانی اقدامی را در راستای برطرف کردن آن انجام نداده است. گاردین در تایید ادعای بوِلتر، وجود این روزنه‌ی امنیتی را تایید می‌کند.

روزنه امنیتی واتساپ

سخنگوی واتساپ در واکنش به اخبار منتشر شده به گاردین گفته که بیش از یک میلیارد نفر در سراسر جهان از سرویس واتساپ استفاده می‌کنند، چراکه واتساپ سرویسی امن و قابل اعتماد است. وی به این نکته اشاره کرده که در پیاده‌سازی پروتکل Signal توسط واتساپ، گزینه‌ی Show Security Notofocations در قسمت Security تنظیمات قرار داده شده تا از این طریق کاربران با فعال کردن آن در صورت عوض شدن کلید مورد استفاده توسط گیرنده، مطلع شوند. تعویض کلید به دلایل متعددی اتفاق می‌افتد که از جمله‌ی آن می‌توان به تعویض گوشی هوشمند یا سیمکارت مورد استفاده اشاره کرد. به گفته‌ی واتساپ، این پیام‌رسان نمی‌خواهد تا در چنین شرایطی پیام‌های ارسالی در بین راه گم شده و به دست گیرنده نرسند.

واتساپ به اخبار مطرح شده در رابطه با ایجاد یک Backdoor برای دسترسی آژانس‌های دولتی به پیام‌های رد و بدل شده نیز واکنش نشان داده و اعلام کرده که این کمپانی هیچگاه این امکان را برای سرویس‌های اطلاعاتی فراهم نکرده و برعلیه چنین درخواست‌هایی نیز مبارزه می‌کند.

پاول دوروف، مدیرعامل و بنیان‌گذار تلگرام در واکنش به روزنه‌ی موجود در واتساپ، کارشناسان امنیتی را خطاب قرار داده و آن‌ها را به دلیل تحسین واتساپ به دلیل به کارگیری امن‌ترین روش ارسال پیام به باد انتقاد گرفته است. وی واتساپ را یک سرویس در خدمت دولتمردان آمریکا خوانده است.

نگرانی‌های امنیتی در مورد واتساپ پس از تصاحب این کمپانی توسط فیسبوک بسیار افزایش یافته است. فیسبوک در سال ۲۰۱۵ اعلام کرد که اطلاعات حساب‌های کاربری فیسبوک و واتساپ را در راستای اهداف توسعه‌ و تبلیغاتی یکی می‌کند تا از این طریق بتواند به شماره تلفن‌های کاربران نیز دسترسی داشته باشد، اما بزرگ‌ترین شبکه‌ی اجتماعی جهان در نوامبر همان سال برنامه‌ی ادغام اطلاعات حساب‌های کاربری را در اثر انتقادات و فشارهای وارد شده متوقف کرد.

[ad_2]

منبع :زومیت