جهرمی: «با یک تماس واتساپ، گوشی قابل هک است»؛ آیا واقعاً واتساپ ناامن است؟

تیم امنیتی واتساپ به‌سرعت حفره را پیدا کرد و در عرض چند روز آن را هم روی سرورها، هم در به‌روزرسانی‌های نرم‌افزاری برطرف کرد. به‌همین دلیل، آسیب‌پذیری واتساپ یک مشکل موقت بود، نه ضعفی دائمی در طراحی آن که به‌سرعت مدیریت و حل شد. در واقع، بیان این حقیقت بدون اشاره به زمینه‌ی زمانی آن، تصویری نادرست از وضعیت امنیتی فعلی واتساپ ارائه می‌دهد.

رویکرد آقای جهرمی، تفاوت اساسی بین یک نقص موقت و یک ضعف دائمی در طراحی نرم‌افزار را نادیده می‌گیرد و به‌جای اطلاع‌رسانی دقیق، روی ترساندن مردم تمرکز می‌کند.

ادعای «ضعف نرم‌افزاری داخلی» واتساپ ساده‌سازی بیش از حد گمراه‌کننده‌ای است. امنیت هسته‌ی واتساپ بر پایه‌ی پروتکل سیگنال بنا شده که در صنعت رمزنگاری به‌عنوان استاندارد طلایی شناخته می‌شود. این پروتکل، رمزنگاری سرتاسری (E2EE) را برای تمام پیام‌ها، عکس‌ها، ویدئوها و تماس‌ها به‌صورت پیش‌فرض فعال می‌کند؛ بدین‌مفهوم که محتوای پیام‌ها از زمان ارسال تا زمان دریافت، رمزنگاری‌شده باقی می‌ماند و حتی خود واتساپ نیز نمی‌تواند به آن دسترسی پیدا کند.

پروتکل به‌کاررفته در واتساپ از مکانیزم‌های پیشرفته‌ای مانند الگوریتم Double Ratchet نیز استفاده می‌کند که برای هر پیام یک کلید رمزنگاری جدید تولید می‌کند و تضمین می‌کند که حتی اگر یک کلید در آینده به خطر بیفتد، پیام‌های قبلی همچنان امن باقی خواهند ماند.

با وجود زیرساخت ایمن واتساپ، تهدید واقعی برای کاربران اغلب از طریق حملاتی است که رمزنگاری را دور می‌زنند، نه با شکستن آن؛ حملاتی مانند مهندسی اجتماعی، فیشینگ (ارسال لینک‌های مخرب) و جابه‌جایی سیم‌کارت (SIM Swapping) به‌جای نفوذ به نرم‌افزار، از خطاهای انسانی یا نقاط ضعف در سیستم‌عامل دستگاه بهره‌برداری می‌کنند؛ به‌عنوان مثال، یک هکر می‌تواند با فریب کاربر برای ارسال کد تأیید، حساب واتساپ او را در اختیار بگیرد.

بنابراین، ادعای «ضعف نرم‌افزار داخلی» در واتساپ، تفاوت میان یک آسیب‌پذیری فنی موقت و یک نقص در زیرساخت رمزنگاری را نادیده می‌گیرد. در حقیقت، واتساپ یک بستر امن با یک پروتکل رمزنگاری قوی است؛ اما امنیت واتساپ نمی‌تواند از کاربر در برابر خطای انسانی یا از سیستم‌عامل در برابر حملات بسیار پیچیده‌ی دولتی محافظت کند.

اظهارنظر درباره استفاده‌ی یک «رژیم» از واتساپ برای جاسوسی، در واقعیت ریشه دارد؛ اما ابزار جاسوسی نه خود واتساپ؛ بلکه بدافزار پگاسوس بوده؛ این بدافزار که به‌صورت انحصاری به دولت‌ها فروخته می‌شود، برای هدف قرار دادن فعالان حقوق بشر و روزنامه‌نگاران در سراسر جهان استفاده شده؛ بدافزار پگاسوس از آسیب‌پذیری‌های موقتی مانند حفره‌ی امنیتی سال ۲۰۱۹ واتساپ برای نفوذ به دستگاه‌ها استفاده کرده است.

موضع واتساپ در قبال درخواست‌های دولتی نیز تفاوت‌های کلیدی و فاحشی را نشان می‌دهد. این شرکت یک تیم تخصصی به‌نام Law Enforcement Response Team (LERT) دارد که هر درخواست دولتی را به‌صورت موردی بررسی می‌کند تا از قانونی‌بودن آن اطمینان حاصل کند. به‌دلیل وجود رمزنگاری سرتاسری، واتساپ به‌صراحت اعلام کرده است که «نمی‌تواند محتوای پیام‌های کاربران خود را در پاسخ به درخواست‌های دولتی ارائه دهد»؛ اما در پاسخ به حکم قانونی معتبر، می‌تواند فراداده‌ها (metadata) مانند اطلاعات حساب، تاریخ آخرین بازدید، آدرس IP و سوابق تراکنش را ارائه کند.

این تمایز حیاتی است و نشان می‌دهد که جاسوسی در چنین مواردی از طریق دور زدن و سوءاستفاده از پروتکل‌های امنیتی صورت گرفته است، نه از طریق همکاری واتساپ. واتساپ در سال ۲۰۲۰ حتی از شرکت NSO Group به دلیل سوءاستفاده از پلتفرم خود شکایت کرد و در نهایت نیز برنده‌ی دعوای حقوقی خود با NSO شد.

ادعای وزیر سابق ارتباطات، مبنی بر تمسخر واتساپ توسط پاول دورف، مدیرعامل تلگرام، کاملاً دقیق است؛ دوروف به‌طور علنی واتساپ را «تقلید ارزان» تلگرام خوانده و ادعا کرده که این برنامه، «درهای پشتی» دارد. اظهارات دوروف بخشی از رقابت تجاری آشکار میان تلگرام و واتساپ به‌حساب می‌آید.

در ادامه به تفاوت واتساپ با دو پیام‌رسان بزرگ رقیب هم می‌پردازیم.

بررسی دقیق مدل امنیتی خود تلگرام، تصویری پیچیده‌تر را نشان می‌دهد؛ درحالی که واتساپ رمزنگاری سرتاسری را به‌صورت پیش‌فرض برای تمام چت‌ها و تماس‌ها فعال کرده، تلگرام این قابلیت را تنها به «چت‌های محرمانه» (Secret Chats) محدود می‌کند؛ بنابراین اکثر کاربران تلگرام در چت‌های عادی و گروهی خود، از لایه‌ی حیاتی امنیتی محروم هستند و پیام‌هایشان روی سرورهای تلگرام، رمزنگاری‌نشده ذخیره می‌شوند.