در جریان کنفرانس امنیتی Black Hat که هفته گذشته در لاس وگاس برگزار شد، محققان امنیتی گروه Check Point درباره آسیب پذیریهای مختلف یافت شده در پیامرسان واتساپ به گفتگو پرداختند. همانطور که شاید اطلاع داشته باشید، واتساپ در سال ۲۰۱۴ به مبلغ ۲.۱ میلیارد دلار توسط فیسبوک خریداری شد. یکی از ویژگیهای مهمی که به محبوبیت این پیامرسان منجر شد، استفاده آن از سیستم رمزنگاری دو سویه پیامها است که تنها فرستنده و گیرنده پیام میتوانند محتوای ارسال شده را مشاهده کنند و حتی خود فیسبوک نیز به محتوای پیامهای مبادله شده دسترسی ندارد. اما رخنههای امنیتی مورد بحث در کنفرانس اخیر پیامدهای جدی برای کاربران به دنبال دارند.
این تیم امنیتی اعلام کرده است که یکی از آسیب پذیریهای پیدا شده در واتساپ نه تنها امکان مشاهده پیامها را برای هکرها فراهم میکند، بلکه به آنها اجازه میدهد تا محتوای پیام را نیز تغییر دهند. به دلیل جلوگیری از طولانی شدن مطلب، قصد نداریم به عواقب این آسیب پذیری اشاره کنیم ولی قطعا میتوانید حدس بزنید که چه پیامدهای ممکن است در پی داشته باشد. آسیب پذیری بعدی این است که هکر میتواند پیام را به جای فرستنده واقعی، به شخص دیگری نسبت دهد. از ذکر عواقب این مورد نیز میپرهیزیم. گروه امنیتی Check Point درباره سومین مشکل امنیتی واتساپ میگوید که هکر میتواند یک پیام عمومی را به یک پیام خصوصی تغییر دهد. به عبارت دیگر، فرستنده فکر میکند که گیرنده پیام تنها مخاطبی است که میتواند پیامش را مشاهده کند، اما در واقع پیام برای همه اعضا قابل مشاهده است.
واتساپ به عنوان یکی از بزرگترین پیامرسانهای حال حاضر، به بیش از یک و نیم میلیارد کاربر در بیش از ۱۸۰ کشور خدمات میدهد و انتظار دارد تا سال ۲۰۲۱ تعداد کاربرانش بیشتر از این تعداد شود. در سال گذشته و زمانی که Check Point این آسیب پذیریها را کشف کرده و به فیسبوک اطلاع داده بود، این شرکت میتوانست نقصهای مطرح شده را برطرف کند، گرچه دو مورد از این سه رخنه امنیتی به دلیل آنچه محققان «حامی خطر» میخوانند باز هم در دسترس هکرها میماند. اما از سوی دیکر، فیسبوک مدعی است:
ما سال گذشته با دقت این موضوع را مورد بررسی قرار دادیم و با وجود امنیتی که برای واتساپ تامین کردهایم، درست نیست گفته شود آسیب پذیری در آن وجود دارد. سناریویی که در اینجا (کنفرانس امنیتی Black Hats) توصیف شد، صرفا مانند این است که چند پاسخ در یک ایمیل تهدید آمیز قرار دهیم تا مشخص نشود چه کسی آن را نوشته است. باید بهخاطر داشته باشیم که نگرانیهای مطرح شده توسط این محققان میتواند حریم خصوصی واتساپ را کمرنگتر کند، مانند ذخیره اطلاعات درباره اصل پیامها.
مدتهاست خبرهای بسیاری درباره مشکلات امنیتی واتساپ میشنویم و بنابراین حق داریم درباره صحت گفتههای نه چندان واضح فیسبوک نگران باشیم. در نهایت، لازم به ذکر است که تنها به دلیل استفاده واتساپ از سیستم رمزنگاری دو سویه، نمیتوان تصور کرد این پیامرسان در مقابل هرگونه نفوذ و آسیب پذیری در امان است.
پاسخ ها