آیا واتس‌اپ واقعاً جاسوس است؟!

به استناد کتابی معتبر در حوزه امنیت سایبری نوشته Oppliger، پیام‌رسان واتس‌اپ برخلاف تلگرام کاملاً Closed-Source  است و هیچ تضمینی وجود ندارد که پیاده‌سازی آن دقیقاً با Signal Protocol یکسان باشد، لذا کاربران مجبور به اعتماد به مکانیزم‌های کلید، سرورها، بکتور‌ها و نسخه‌ جدید برنامه هستند و در صورت Compromise شدن سرور یا سازوکار به‌روزرسانی، پیام‌‌ها ممکن است در معرض شنود قرار گیرند، بدون اینکه کاربر از تغییر کلید یا نسخه نرم‌افزار مطلع شود. به گزارش سیتنا به نقل از PingChannel، در روزهای اخیر هجمه‌های سنگینی علیه واتس‌اپ شکل گرفته است. از آنجا که اظهارنظرهای عامیانه برای متخصصین فاقد استناد هستند ما در اینجا با نگاهی تخصصی و فنی موضوع را برررسی می‌کنیم. سال‌هاست که واتس‌اپ ادعا می‌کند که از رمزگذاری سرتاسری (E2EE) استفاده می‌کند، اما کتاب “End-to-End Encrypted Messaging” نوشته‌ Rolf Oppliger (منتشر شده توسط Artech House – یکی از معتبر‌ترین ناشران امنیت سایبری) تصویری متفاوت از این ادعا ارائه می‌دهد:

مدیریت متمرکز کلیدهای رمزگذاری: WhatsApp ادعا می‌کند از پروتکل Signal Protocol استفاده می‌کند که مبتنی بر ترکیب Double Ratchet, X3DH و Pre-keys است و در حالت ایده‌آل، کلیدهای رمزگذاری به‌صورت End-to-End و بدون مداخله سرور مدیریت می‌شوند. طبق تحلیل Oppliger، واتس‌اپ برخلاف طراحی امن پروتکل Signal، کلید‌ها را از طریق سرور مرکزی خود منتقل و مدیریت می‌کند و به‌طور مستقل برای هر کاربر یک هویت رمزنگاری‌شده نمی‌سازد، بلکه از سرورهای خود برای تسهیل تبادل initial keys استفاده می‌کند. این به آن معناست که اگر واتس‌اپ (یا هر شخص ثالث با دسترسی به سرور) بخواهد، می‌تواند در فرآیند تبادل کلید دخالت کرده و یک MITM Attack را بدون اطلاع کاربر اجرا کند! به بیان دیگر، واتس‌اپ یک “trust-on-first-use” مدل دارد که کاملاً به اعتماد به سرور متکی است و نه به رمزنگاری‌ دو طرفه! بنابراین سرور واتس‌اپ به‌عنوان یک CA غیرقابل اطمینان عمل می‌کند و در غیاب verify-key/manual trust model، می‌تواند برای تعویض کلید‌ها سوءاستفاده شود.

استفاده از مدل اعتمادپذیر به جای مدل رمزنگاری کامل: واتس‌اپ ادعا می‌کند از رمزگذاری سرتاسری برای ایجاد ارتباط امن استفاده می‌کند. اما Oppliger در کتابش تأکید می‌کند که در عمل، امنیت واتس‌اپ بیشتر بر پایه اعتماد به سرور و کد بسته‌ی آن است تا اعتماد به پروتکل رمزنگاری! واتس‌اپ برخلاف تلگرام کاملاً Closed-Source است و هیچ تضمینی وجود ندارد که پیاده‌سازی آن دقیقاً با Signal Protocol یکسان باشد. کاربران مجبور به اعتماد به مکانیزم‌های کلید، سرورها، بکتور‌ها و نسخه‌ جدید برنامه هستند. در صورت Compromise شدن سرور یا سازوکار به‌روزرسانی، پیام‌‌ها ممکن است در معرض شنود قرار گیرند، بدون اینکه کاربر از تغییر کلید یا نسخه‌ نرم‌افزار مطلع شود. اخیراً مجلس نمایندگان آمریکا هم استفاده از WhatsApp را برای نمایندگان ممنوع اعلام کرده است که احتمالاً مبنای این تصمیم یک گزارش محرمانه بوده که به‌صورت عمومی منتشر نشده است. بنابراین افرادی که سمت‌های مهم دارند یا نگران امنیت خود هستند نباید به امنیت WhatsApp اعتماد کنند.