ابهام در امنیت ۲ میلیارد کاربر واتس‌اپ

وب سایت اینترسپت در ۲۲ ماه مه سال ۲۰۲۴، محتوای یک «ارزیابی تهدید» داخلی را فاش کرد که در آن، مهندسان واتس‌اپ درباره آسیب پذیری‌هایی گفت‌وگو کرده‌اند که می‌تواند به سازمان‌های دولتی امکان دهد رمزنگاری این پیام‌رسان را دور بزنند.

سه روز بعد، ایلان ماسک به صحنه آمد و در حساب «ایکس» خود مدعی شد واتس‌اپ، هر شب از داده‌های کاربران خروجی می‌گیرد.

در هر دو مورد، ویل کت کارت، رئیس واتس‌اپ  به شبکه اجتماعی آمد تا درباره چنین ادعاهایی، شفاف سازی کند. وی در این مورد حق دارد که رمزنگاری واتس‌اپ، امن است و پیام کاربران کاملا خصوصی است. با این حال، این دو داستان مربوط به رمزنگاری نیستند. مسئله مربوط به «مِتادیتا» یا «فراداده» است.

مسئله فراداده
واتس‌اپ برای محافظت از ارتباطات کاربران، از رمزنگاری نقطه به نقطه استفاده می‌کند. این کار را با تقسیم داده به یک شکل غیرقابل خواندن انجام می‌دهد تا هیچ کس بجز فرستنده و گیرنده، حتی خود شرکت متا هم به آن دسترسی نداشته باشد. همزمان، مرتبا جزئیات به ظاهر بی‌اهمیت مربوط به فعالیت‌های پیام‌رسانی شما را گردآوری می‌کند.

این اطلاعات یا فراداده شامل آدرس آی‌پی، شماره تلفنی که با آن صحبت کرده‌اید و زمان مکالمه می‌شود. شاید مهم به نظر نرسد اما حتی چنین ردهای دیجیتالی کوچکی هم می‌تواند به شکل یک عامل شناسایی کننده عمل کند. به عنوان مثال یک قطعه فراداده که شامل ایمیل بازیابی «پروتون میل» بود، به دستگیری یک فعال اهل کاتالان منجر شد.

در خصوص سیاست حریم خصوصی واتس‌اپ، این اپلیکیشن، اطلاعات وسیعی از استفاده شامل روال استفاده و مدت فعالیت و تعامل کاربر را ثبت می‌کند. سایر آمار قابل تشخیص مانند جزئیات شبکه شما، مرورگری که استفاده می‌کنید، آی‌اس‌پی و سایر شناسایی کننده‌های مرتبط با محصولات دیگر متا نظیر اینستاگرام و فیس‌بوک مرتبط با دستگاه یا حساب مشابه هم قابل جمع‌آوری هستند.

واتس‌اپ، آدرس آی‌پی کاربر را وقتی از این سرویس استفاده می‌کند، ثبت می‌کند. این جالب است زیرا آی‌پی کاربر می‌تواند برای ردگیری مکان او استفاده شود. آن طور که واتس‌اپ توضیح داده است، حتی اگر کاربر، ویژگی‌های مبتنی بر مکان را غیرفعال کند، آدرس آی‌پی او و سایر اطلاعات جمع آوری شده مانند کد منطقه شماره تلفن، می‌تواند برای ارزیابی موقعیت مکانی کلی کاربر استفاده شود.

واتس‌اپ بر اساس قانون، ملزم است این اطلاعات را در طول تحقیقات با مقامات قانونی به اشتراک بگذارد. مقامات اجرایی این داده‌ها را مورد ارزیابی قرار می‌دهد تا الگوهایی را پیدا کند و این مسئله، خارج از کنترل واتس‌اپ است. حتی با فرض این که رمزنگاری واتس‌اپ، غیرقابل شکستن باشد، آن طور که خود واتس‌اپ گفته است، جمع آوری داده، مدل حریم خصوصی مورد نظر این شرکت را می‌شکند.

این حفره که می‌تواند رمزنگاری را دور بزند، با بهره برداری از آسیب پذیری‌های تحلیل ترافیک، مرتبط است. دوباره، پای فراداده در میان است. با این حال، این موضوع جدیدی نیست و واتس‌اپ به شکل واضح در سیاست خود اعلام کرده است.

چرا مهندسان واتس‌اپ  اکنون نگران این مسئله شده‌اند؟
مسئله این است که تکنیک‌های تجسس، مدام در حال پیشرفته‌تر شدن هستند. تیم امنیت داخلی واتس‌اپ، موارد بسیاری از حملات به اصلاح همبستگی را شناسایی کرده که در آن تحلیل داده رمزنگاری شده مرتبط به فراداده قابل مشاهده، می‌تواند حفاظت‌های حریم خصوصی این اپلیکیشن را دور بزند.بدتر از آن، همین نوع ردیابی می‌تواند برای سایر اپلیکیشن‌های پیام‌رسان هم استفاده شود.

هر چند ادعای ماسک، ماهیت متفاوتی دارد اما در آن به فراداده اشاره شده است. این بار، آنچه زیر ذره بین است، این است که خود شرکت متا، از این جزئیات ارزشمند برای اهداف تجاری، استفاده می‌کند.

این نکته در سیاست حریم خصوصی و شرایط استفاده از سرویس واتس‌اپ هم مورد اشاره قرار گرفته است. واتس‌اپ  اعلام کرده است ممکن است از اطلاعاتی که از زیرمجموعه‌های شرکت متا دریافت می‌کنیم استفاده کنیم و ممکن است از اطلاعاتی که ما با آنها به اشتراک می‌گذاریم استفاده کنند تا به کار، ارائه، بهبود، درک، سفارشی سازی، پشتیبانی و بازاریابی خدمات و پیشنهادات آنها کمک شود.

بر اساس گزارش تِک رادار، این به معنای آن است که پیام کاربران، همیشه خصوصی است اما واتس‌اپ فعالانه از فراداده برای ساخت شخصیت دیجیتالی کاربر در سراسر پلتفرم‌های شرکت متا استفاده می‌کند.

منبع: ایسنا