واتس‌اپ: دربِ پشتی در پیام‌رسان ما وجود ندارد

روز جمعه‌ گزارشی منتشر شد مبنی بر اینکه در پیام‌رسان محبوب واتس‌اپ یک دربِ پشتی کار گذاشته شده که اپوراتور این پیام‌رسان (فیس‌بوک) می‌تواند پیام‌های کاربران که به شکل انتها به انتها رمزنگاری شده را شنود کند. اینک واتس‌اپ ادعای وجود دربِ پشتی در پیام‌رسان خود را رد کرده است.

رمزنگاری انتها به انتها در پیام‌رسان واتس‌اپ مبتنی بر پروتکل تبادل کلید بین فرستنده و گیرنده است و در صورتی‌که کلید رمزنگاری تغییر کرده باشد و طرفین درگیر در مکالمه این تغییر کلید را اعتبارسنجی نکرده باشند، این بستر پیام‌رسان می‌تواند پیام‌های رمزنگاری‌شده‌ی کاربران را بخواند ولی این قضیه یک دربِ پشتی نیست و یک انتخاب در طراحی است.

پیام‌رسان واتس‌اپ برای رمزنگاری پیام‌ها از پروتکل سیگنال استفاده می‌کند. گاردین در گزارش خود نوشت، شیوه‌ای که واتس‌اپ این پروتکل را پیاده‌سازی می‌کند به‌عنوان یک دربِ پشتی قلمداد می‌شود که به واتس‌اپ اجازه‌ی خواندن پیام‌های کاربران را می‌دهد.
مدت طولانی است که فیس‌بوک اعلام کرده کسی نمی‌توانند مکالمات صورت گرفته در پیام‌رسان واتس‌اپ را شنود کند و پس از جدال بین اپل و FBI نیز، فیس‌بوک اعلام کرد که قابلیت رمزنگاری انتها به انتها را به واتس‌اپ اضافه کرده است. ولی گزارش‌های اخیر نشان می‌دهد که ادعای فیس‌بوک درست نبوده و دربِ پشتی موجود در این پیام‌رسان، به فیس‌بوک اجازه می‌دهد تا پیام‌های خصوصی کاربران را بخواند و از این طریق یک میلیارد کاربر این پیام‌رسان تحت تأثیر قرار می‌گیرند.

به گزارش گاردین این دربِ پشتی در واتس‌اپ توسط توبیاس بالتر، محقق امنیتی در دانشگاه کالیفرنیا کشف شده است. پیاده‌سازی پروتکل به نحوی صورت گرفته که در آن، واتس‌اپ، کاربری که در حالت برخط نیست را مجبور به تولید کلید جدید کرده و ارسال‌کننده‌ی پیام‌ها نیز از این کلید جدید اطلاع یافته و پیام‌ها را با کلید جدید مجدداً رمزنگاری و ارسال می‌کند.
این کلیدها بدون اطلاع فرستنده و گیرنده‌ی پیام صادر می‌شود و فقط پیام‌هایی که تحویل گیرنده داده نشده است، مجدداً با کلید جدید رمزنگاری شده و ارسال می‌شود. گیرنده‌ی پیام از این اتفاق باخبر نخواهد بود ولی اگر فرستنده در تنظیمات رمزنگاری گزینه‌ی تغییرات را فعال کرده باشد، پس از ارسال مجدد پیام‌ها، اعلانی برای او نمایش داده خواهد شد.

گاردین می‌گوید این شیوه‌ی پیاده‌سازی پروتکل سیگنال به‌عنوان یک دربِ پشتی محسوب می‌شود و فرآیند رمزنگاری و ارسال مجدد پیام‌ها، واتس‌اپ را قادر می‌سازد تا پیام‌های کاربران را شنود کند. کاربران بیشتر نگران این موضوع هستند که نهادهای نظارت دولتی استفاده از این سرویس را متوقف کنند.
براساس گزارش محقق استرالیایی، دیوید وایند، پیاده‌سازی پروتکل سیگنال حاوی دربِ پشتی نیست اگرچه امکان حمله‌ی مرد میانی و جاسوسی در ارتباطات را فراهم می‌سازد. ولی این حمله زمانی امکان‌پذیر است که فرستنده و گیرنده‌ی پیام اثرانگشت ِ کلید تبادل‌شده را اعتبارسنجی نکرده باشند.
براساس پروتکل سیگنال، واتس‌اپ از مفهوم «اعتماد به استفاد‌ی اولیه» در ارتباطات استفاده می‌کند به عبارت دیگر به دنبال تبادل کلید اولیه، تا زمانی‌که کلید تغییر نکرده باشد، این کلید قابل اعتماد خواهد بود. به‌طور پیش‌فرض، سیگنال زمانی که کلید تغییر کرده باشد، ارسال پیام‌های خروجی را مسدود می‌کند و تا زمانی‌که طرف مقابل تغییر کلید را اعتبارسنجی نکرده باشد، پیام ارسال نخواهد شد. واتس‌اپ فقط تغییر کلید را به کاربر اطلاع می‌دهد.

وایند گفت: «بله این قضیه درست است که واتس‌اپ می‌تواند کاربر را مجبور به تولید کلید جدید بکند. واتس‌اپ قادر است کلید عمومی جدیدی را برای کاربر صادر کند. برای این کلید عمومی، کلید خصوصی متناظر با آن نیز وجود دارد بنابراین واتس‌اپ می‌تواند پیام‌ها را رمزگشایی کند. مشکل واتس‌اپ این است که حتی پس از تغییر کلید نیز پیام‌ها را ارسال می‌کند درحالی‌که سیگنال تا زمانی‌که کلید اعتبارسنجی نشده باشد، پیام‌ها را ارسال نمی‌کند.»
وایند در ادامه توضیح داد: «اما دوباره اعلام می‌کنیم که کد منبع واتس‌اپ بسته است و کسی نمی‌داند چه عملیاتی پشت پرده اتفاق می‌افتد. ممکن است واتس‌اپ روال اعتبارسنجی کلید را دست‌کاری کرده باشد تا زمانی‌که کلید مشخصی تولید شده است، روال اعتبارسنجی مسئله‌ی بدی را گزارش نکند. هرچند ما دقیقاً از این روال مطلع نیستیم.»

با این حال، صدور کلید جدید رمزنگاری، یک دربِ پشتی محسوب نمی‌شود چرا که جزو تنظیمات اولیه و پیش‌فرض واتس‌اپ است. وایند گفت: «اگر واتس‌اپ می‌خواست در پیام‌رسان خود دربِ پشتی نصب کند، به روشی دیگر این کار را انجام می‌داد. من فکر می‌کنم اگر واتس‌اپ بخواهد این کار را انجام دهد این موضوع را بسیار مخفی و بی‌سروصدا انجام می‌دهد.»
این محقق امنیتی همچنین اشاره کرد کاربران می‌توانند در بخش تنظیمات واتس‌اپ گزینه‌ی اطلاع‌رسانی تغییر کلید را فعال کنند. او گفت: «تنها چیزی که کاربران باید همیشه بخاطر داشته باشند این است که حتی زمانی‌که کاربر اثرانگشت کلید را تأیید و اعتبارسنجی نکند، یک اپراتور می‌تواند پیام‌های کاربران را شنود کند.»

توسعه‌دهنده‌ی سابق سیگنال در صحبت‌های خود روال عملکرد این پروتکل را توضیح داد و گفت: «اگر شما کلید را اعتبارسنجی و تأیید نکنید، صحت کلیدها تضمین نخواهد شد و این یک موضوع کاملاً شناخته‌شده است.»
واتس‌اپ در گزارش خود اعلام کرد بخاطر اینکه کاربران دستگاه‌های خود را عوض کرده یا بازنشانی می‌کنند، این پروتکل را به این شکل پیاده‌سازی کرده است. با تولید مجدد کلیدها و ارسال دوباره‌ی پیام‌ها، واتس‌اپ می‌خواهد مطمئن شود که مکالمه‌ی بین دو کاربر به درستی انجام شده باشد.
در پاسخ به رایانامه‌ای که به این شرکت ارسال شد، سخنگوی واتس‌اپ به سکیوریتی‌ویک گفت: «پیاده‌سازی پروتکل به این شکل برای این بود که کاربران میلیون‌ها پیام را از دست ندهند و این تصمیم در طراحی و پیاده‌سازی پروتکل به معنی وجود دربِ پشتی در این پیام‌رسان نیست.»
سخنگوی این شرکت در ادامه افزود: «روزنامه‌ی گاردین در داستانی توضیح داده که پیاده‌سازی پروتکل سیگنال به‌طوری صورت گرفته که یک دربِ پشتی محسوب می‌شود و احتمال دارد نهادهای نظارت دولتی واتس‌اپ را مجبور به رمزگشایی پیام‌های کاربران بکنند. تمامی این ادعاها غلط است.

واتس‌اپ هیچ‌گونه دربِ پشتی در سامانه‌ی خود قرار نداده و با هر درخواست از طرف نهادهای دولتی که بخواهند واتس‌اپ دربِ پشتی در پیام‌رسان خود قرار دهد، مقابله خواهد کرد. این تصمیم در پیاده‌سازی و طراحی پروتکل که گاردین از آن به‌عنوان دربِ پشتی یاد کرده است، برای این بوده که میلیون‌ها پیام کاربران مفقود نشود همچنین واتس‌اپ اطلاعیه‌های امنیتی را به کاربران نمایش می‌دهد تا از خطرات بالقوه مطلع باشند.
واتس‌اپ یک مقاله‌ی سفید در توضیحات فنی پیاده‌سازی این پروتکل رمزنگاری منتشر کرده و همچنین درخواست‌های دولت‌ها از فیس‌بوک برای رمزنگشایی داده‌های کاربران را نیز گزارش داده است.»

در حالی‌که واتس‌اپ تضمین می‌کند که مکالمات کاربران در این پیام‌رسان امن اقی می‌ماند ولی این تضمین برای داده‌های دیگری که واتس‌اپ از کاربران جمع‌آوری می‌کند، وجود ندارد. سال گذشته نشان داده شد که این بستر پیام‌رسان، داده‌های کاربران را با فیس‌بوک به اشتراک می‌گذارد و آلمان در شهریور ماه به این مسئله موضع گرفت. اشتراک‌گذاری داده‌های کاربران بین واتس‌اپ و فیس‌بوک نگرانی‌ها در مورد حریم خصوصی کاربران را افزایش داده است.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.