فاجعه امنیتی واتس‌اپ

جان اسکات محقق ارشد آزمایشگاه سیتیزن (‌ Citizen Lab ) در دانشگاه تورنتو می‌گوید: این کار به شکل کاملا استادانه‌ای انجام می‌گیرد بدون آنکه کاربر چیزی مشاهده کند. آزمایشگاه سیتیزن یک گروه پژوهشی دانشگاهی است که نخستین‌بار جاسوس‌افزاری به نام «پگاسوس» را کشف کردند. پگاسوس یک اپلیکیشن جاسوسی است که توسط گروه NSO، یک شرکت اسرائیلی تولید شده و محصولاتش را که عموما برای جاسوسی از شهروندان به‌کار می‌آید به دولت‌ها می‌فروشد. در صورتی که تلفن همراه شما به پگاسوس آلوده شود تقریبا غیر ممکن است این موضوع را متوجه شوید. فایننشال‌تایمز چند روز قبل خبر داده بود که هکرها قادر به نصب پگاسوس روی گوشی تلفن افراد هستند و این کار را صرفا به سادگی تماس تلفنی واتس‌اپ با قربانیان انجام می‌دهند.

چه بر سر واتس‌اپ آمده است؟

روز دوشنبه گذشته واتس‌اپ به روزرسانی جدیدی را برای بیش از ۵/ ۱ میلیارد کاربرش انجام داد. هدف این به‌روزرسانی جلوگیری از حفره امنیتی بود که منجر می‌شد هکرها با تماس تلفنی از طریق واتس‌اپ بتوانند گوشی قربانیان را آلوده کنند. برای آلوده شدن حتی نیاز به پاسخ دادن به این تماس هم نیست و بعد از آلوده شدن هم تماس وارد شده از لیست تماس‌ها حذف می‌شود تا هیچ ردی باقی نماند. جان اسکات می‌گوید: شغل شرکت NSO یافتن مسیرهای جدیدی برای مشتریانش (دولت‌ها) برای دسترسی به گوشی شهروندان است و واتس‌اپ هم در فهرست آن مسیرها قرار دارد.

پگاسوس چیست؟

پگاسوس مثل یک تروجان عملکرد نسبتا ساده‌ای دارد و وقتی وارد گوشی شما می‌شود دسترسی کاملی از راه دور به آن پیدا می‌کند. این دسترسی‌ها شامل دوربین و میکروفن دستگاه شما می‌شود. پگاسوس یافته جدیدی نیست. برای نخستین‌بار این تروجان در سال ۲۰۱۶ کشف شد وقتی که مشخص شد یک فعال حقوق بشر در امارات به اسم احمد منصور لینکی مشکوک را از طریق پیامک دریافت کرد. آزمایشگاه سیتیزن روی گوشی آی‌فون او کار کرد و توانست با موفقیت متوجه جاسوس‌افزار نصب شده روی آن بشود. آن جاسوس‌افزار پگاسوس بود. احمد منصور هم حالا به خاطر انتقاد از حکومت امارات در حال گذراندن حبس ۱۰ ساله خود در این کشور است. محققان معتقدند که تولیدکنندگان این تروجان آن را به گونه‌ای طراحی کرده‌اند که حتی باعث داغ شدن گوشی یا تغییر عملکرد گوشی یا باتری نشود. متخصصان امنیت می‌گویند حتی به‌رغم در اختیار داشتن تجهیزاتی که برای پیدا کردن جاسوس افزارها طراحی شده در ابتدا تنها از طریق ترافیک شبکه متوجه آلوده شدن دستگاه گوشی شدند. به همین دلیل بدون بررسی ترافیک شبکه هیچ رفتار غیر‌معمولی از یک گوشی آلوده شده به این جاسوس افزار دیده نمی‌شود.

 چه کسی پگاسوس را طراحی کرده است؟

پگاسوس را می‌توان یک اسلحه مجازی برای استفاده دولت‌ها ( علیه شهروندان ناراضی یا دولت‌های متخاصم ) تعریف کرد. شرکت NSO تولید آن را برعهده دارد و وزارت دفاع اسرائیل بر فروش خارجی آن (به دولت‌های دیگر) نظارت می‌کند. اوایل امسال مدیرعامل شرکت شالف‌هولیو در گفت‌وگو با برنامه ۶۰ دقیقه گفته بود که تلفن هوشمند مشکلی برای آژانس‌های اطلاعاتی است و دولت‌ها می‌خواهند به این دستگاه‌ها نفوذ کنند. هرچند سازنده این اسلحه سایبری هدف تولید آن را مبارزه با تروریسم و جنایتکاران عنوان می‌کند اما مشخص است که دولت‌های نزدیک به اسرائیل از آن برای چه نوع اهدافی بهره می‌گیرند. در واقع تولیدکنندگان آن موضوعاتی چون مبارزه با تروریسم و پیداکردن جنایت را بهانه‌ای برای فروش بی‌دردسر آن عنوان می‌کنند. از جمله ماموریت‌های مشهوری که پگاسوس انجام داد ارتباط آن با قتل روزنامه‌نگار سعودی، جمال خاشقجی بود. دولت عربستان با استفاده از پگاسوس قادر به نفوذ به تلفن خاشقجی شد و همچنین یک دانشجوی منتقد عربستان در کانادا را به نام عمر عبدالعزیز هم با این ابزار مورد جاسوسی قرار داد.

راه‌حل چیست ؟

به‌روز کردن واتس‌اپ شاید مهم‌ترین کاری باشد که هم اکنون کاربران می‌توانند انجام دهند. در به‌روزرسانی جدید واتس‌اپ این امکان دسترسی به تلفن مسدود شده است. در همین حال همچنان متخصصان معتقدند که پیام‌های رمزنگاری شده در پیام‌رسان‌ها همچنان باید توسط مردم مورد استفاده قرار گیرد. با این حال به گفته متخصصان اینکه واتس‌اپ که همواره با تاکید بر امن بودن پیام‌رسانی خود را در بین کاربران جا کرد به چنین حفره امنیتی آلوده شده باشد نشان‌دهنده سهل انگاری شرکت‌های بزرگ در حفظ امنیت افراد هم هست. چیزی که باعث می‌شود اعتماد کاربران به شعار امن بودن تبادل اطلاعات از بین برود.

پاول دورف و انتقاد از واتس‌اپ

برای سال‌ها تلگرام همواره از سوی رسانه‌های غربی به‌خاطر امنیت کم در مقایسه با واتس‌اپ مورد انتقاد قرار می‌گرفت. بی‌سبب نبود که بعد از مشخص شدن وجود این حفره امنیتی در واتس‌اپ حالا نوبت انتقاد پاول دورف باشد. بنیان‌گذار تلگرام در پستی که اواخر هفته گذشته در کانال خود گذاشت به این موضوع اشاره کرد که افشای ماجرای حفره امنیتی واتس‌اپ باعث تعجب بسیاری در بین رسانه‌ها و مردم شد اما شخص او را متعجب نکرد. دورف نوشت که سال گذشته نیز باگ مشابهی در واتس‌اپ کشف شد که هکرها از طریق آن قادر به دسترسی به کل محتویات گوشی کاربر بودند.دورف افزود: هربار که واتس‌اپ یک باگ امنیتی را رفع می‌کرد یک باگ امنیتی جدید پیدا می‌شد و نکته مهم اینکه همه این مشکلات امنیتی به سادگی برای استفاده‌های جاسوسی و نصب بک‌دورها (ایجاد مسیری برای نفوذ) مورد استفاده قرار می‌گرفت.

پاول دورف با مقایسه دو پلت‌فرم با هم می‌نویسد: بر خلاف تلگرام، واتس‌اپ اوپن سورس نیست و به همین دلیل برای محققان امنیتی تقریبا غیرممکن است که به سادگی بتوانند وجود یک بک‌دور در کد آن را کشف کنند. در واقع واتس‌اپ اساسا با تمهیدات فنی جلوی هرنوع مطالعه روی کد برنامه را بسته است. بنیان‌گذار تلگرام در عین حال به موضوع درخواست دولت و اف‌بی‌آی از شرکتی چون فیس‌بوک و واتس‌اپ برای گذاشتن بک دور عمدی در این شرکت اشاره کرد و گفت: برای یک پیام‌رسان در داخل آمریکا ساده نیست که بتواند مدل امن ارتباطی ایجاد کند. یک بار تیم ما طی یک هفته مجبور به مسدود کردن تلاش اف‌بی‌آی برای نفوذ به این سیستم شد تصور کنید یک شرکت آمریکایی چگونه می‌تواند برای مدت ۱۰ سال در این کشور فعالیت کند.

دورف همچنین به موضوعی اشاره کرد که چند سال قبل مشابه آن برای اپل و اف‌بی‌آی ایجاد شده بود وقتی که پلیس از شرکت اپل درخواست ‌کرد مسیری برای باز کردن آی‌فون‌ها ایجاد کند و اپل اعلام کرد این‌کار را نمی‌کند چون ایجاد بک‌دور به معنای ایجاد مسیری برای ناامن کردن آی‌فون است. دورف هم در این زمینه می‌گوید: من درک می‌کنم که ممکن است دولت‌ها بخواهند برای مقابله با تروریسم از بک‌دور استفاده کنند اما مشکل آنجاست که این بک‌دورها می‌تواند توسط برخی دولت‌ها و جنایتکاران مورد استفاده نامطلوب قرار گیرد. به گفته دورف هم اپراتورها و هم ادمین‌های شبکه قادر به دسترسی به متن (تکست)‌ واتس‌اپ هستند. سه سال قبل واتس‌اپ به کاربران اطمینان داد که آنها رمزنگاری سراسری را در این اپلیکیشن اجرا کرده‌اند تا به این ترتیب هیچ کس قادر به دسترسی به پیام‌های کاربران نباشد و افراد ساده‌لوح هم این را باور کردند.

به روزرسانی واتس‌اپ کافی نیست

بنیان‌گذار تلگرام با اشاره به اینکه واتس‌اپ به دلیل وجود حفره‌های امنیتی متعدد مورد علاقه برای اهداف نظارتی است می‌گوید که این سیستم طی این ۱۰ سال هیچ گاه یک روز بدون مشکل امنیتی نبوده به همین دلیل تنها به‌روزرسانی آن باعث امن شدن آن نخواهد شد. سال گذشته بنیان‌گذاران واتس‌اپ در اعتراض به عدم حفظ حریم خصوصی کاربران آن را ترک کردند. یکی از بنیان‌گذاران واتس‌اپ حتی هنگام بالا گرفتن ماجرای لو رفتن اطلاعات فیس‌بوک به جنبش حذف اپلیکیشن فیس‌بوک پیوست. دورف نیز به این موضوع اشاره می‌کند و معتقد است هرچند احتمالا آنها به دلیل تعهداتی که با فیس‌بوک به امضا رسانده‌اند قادر به بحث در این زمینه نیستند اما اقرار کرده‌اند که فیس‌بوک و واتس‌اپ حریم خصوصی کاربران را به فروش می‌رسانند. پاول دورف می‌گوید که در ۶ سال عمر تلگرام این سرویس هیچ‌گاه با نشت وسیع داده (شبیه آنچه برای فیس‌بوک اتفاق افتاد) روبه‌رو نبوده است و ما حتی یک بایت اطلاعات را با هیچ گروه بیرونی به اشتراک نگذاشتیم.