بررسی ادعای وزیر اسبق فاوا؛ آیا واقعاً با تماس واتس‌اپ، گوشی قابل هک است؟!

محمدجواد آذری جهرمی؛ وزیر سابق ارتباطات، می‌گوید: واتس‌اپ ناامن است و با یک تماس ساده هک می‌شود؛ اما واقعاً چقدر از این ادعا‌ها حقیقت دارد؟ «با یک تماس ساده از طریق واتس‌اپ، گوشی قابل هک است» این ادعای محمدجواد آذری‌جهرمی؛ وزیر ارتباطات دولت دوازدهم، درباره ضعف‌های امنیتی واتس‌اپ، موجی از بحث و تردید را برانگیخت. روزانه میلیارد‌ها نفر برای ارتباطات شخصی و حتی کاری از پیام‌رسان‌‌ها استفاده می‌کنند و طبیعی است که امنیت و حریم‌خصوصی این ابزار‌ها زیرذره‌بین باشد؛ اما واقعاً چقدر از صحبت‌های جهرمی با واقعیت همخوانی دارد؟ آیا واتس‌اپ به‌سادگی با یک تماس تلفنی هک می‌شود یا این تصوری ساده‌انگارانه است؟ گزارش پیش‌رو با هدف روشن‌سازی حقایق و ارائه‌ تحلیل بی‌طرفانه، اظهارات جهرمی را از منظر منابع معتبر و متخصصان امنیت سایبری مورد راستی‌آزمایی قرار می‌دهد.

بررسی دقیق اظهارات جهرمی

محمدجواد آذری‌جهرمی؛ در مصاحبه‌ای با خبرگزاری دانشجو، صراحتاً نسبت به امنیت واتس‌اپ ابراز تردید کرد. او تأکید داشت که «واتس‌اپ برای حفظ امنیت داخلی نرم‌افزار ضعیف است و حتی پاول دوروف، بنیان‌گذار تلگرام بار‌ها این پیام‌رسان را به سخره گرفته»؛ وزیر سابق ارتباطات کشور، مدعی شد «واتس‌اپ در برابر حملات سایبری مقاومت پایینی دارد و رژیم‌صهیونیستی پیش‌تر از همین بستر برای نفوذ استفاده کرده است.» وزیر سابق ارتباطات، مدعی شد؛ «با یک تماس ساده از طریق واتس‌اپ می‌توان گوشی را هک کرد» که به‌نوعی به وجود حفره‌های امنیتی احتمالی در تماس‌های واتس‌اپ اشاره دارد. جهرمی؛ همچنین خاطرنشان کرد که بنا بر دستورالعمل‌های امنیتی، استفاده از واتس‌اپ برای تبادل اطلاعات محرمانه توسط مسئولان و نظامیان مجاز نیست و این ممنوعیت از گذشته ابلاغ شده؛ از نگاه او، واتس‌اپ تهدید بالقوه‌ امنیتی است و به‌ویژه در شرایط جنگی، هرگونه ساده‌انگاری درباره امنیت آن می‌تواند خطرناک باشد. جهرمی؛ به احتمال سوءاستفاده‌ دولت آمریکا از داده‌های واتس‌اپ نیز اشاره می‌کند. وی می‌گوید واتس‌اپ مدعی است که پیام‌‌ها را ذخیره نمی‌کند و صرفاً از «اطلاعات سایه» (احتمالاً متادیتا) بهره می‌گیرد؛ هرچند که تاکنون گزارش موثقی مبنی بر نقض این ادعا توسط متا منتشر نشده؛ اما چون واتس‌اپ زیرمجموعه‌ یک شرکت آمریکایی است و طبق قوانین ایالات متحده فعالیت می‌کند، جهرمی؛ تحلیل کرد که شاید تحت قوانین آن کشور، برای جاسوسی به‌کار گرفته شود؛ هرچند که او خود نیز اذعان داشت که شواهدی دال بر چنین سوءاستفاده‌ای وجود ندارد. به‌بیان دیگر، جهرمی؛ نگرانی‌های حاکمیتی درباره‌ سرویس‌های خارجی را یادآور شد؛ نگرانی از اینکه شاید دولت‌های بیگانه در شرایط خاص به داده‌های کاربران دسترسی پیدا کنند؛ حتی اگر هنوز مدرکی در این باره منتشر نشده باشد. آنچه از مجموع اظهارات جهرمی برمی‌آید، ترسیم تصویری تیره‌وتار از امنیت واتس‌اپ است. دیدگاه جهرمی؛ در بخشی از موارد ریشه در واقعیت دارد؛ اما به‌نظر تمام واقعیت را منعکس نمی‌کند. اظهارات جهرمی را می‌توان بر چهار محور متمرکز دانست: امکان هک‌شدن گوشی با یک تماس ساده واتس‌اپ؛ ضعف نرم‌افزاری واتس‌اپ و مقاومت پایین آن در برابر حملات سایبری؛ استفاده‌ «رژیم‌صهیونیستی» از واتس‌اپ برای جاسوسی؛ انتقاد مکرر پاول دورف؛ مدیرعامل تلگرام از واتس‌اپ؛ برای آنکه به صحت‌وسقم هریک از این موارد پی ببریم، باید آن‌‌ها را زیر ذره‌بین قرار دهیم.

هک با «تماس ساده»؛ آسیب‌پذیری موقت، نه یک ضعف دائمی

ادعای هک‌شدن گوشی هوشمند تنها با یک تماس واتس‌اپ، به رویداد امنیتی واقعی و جدی در سال ۲۰۱۹ اشاره دارد. در ماه مه آن سال، یک آسیب‌پذیری بسیار خطرناک از نوع «حمله‌ی بدون کلیک» (Zero-Click) در واتس‌اپ کشف شد که به مهاجم اجازه می‌داد، بدون نیاز به هیچ‌گونه تعاملی از سوی قربانی، مانند کلیک روی یک لینک یا پاسخ به یک تماس، بدافزار جاسوسی را روی دستگاه او نصب کند. این حمله با سوءاستفاده از یک باگ در فرآیند مدیریت تماس‌های صوتی واتس‌اپ، بدافزاری مانند پگاسوس را تزریق می‌کرد که توسط شرکت اسرائیلی NSO Group به دولت‌‌ها فروخته می‌شود. واتس‌اپ بعد‌ها تأیید کرد که حمله‌ Zero-Click  سال ۲۰۱۹ به نفوذ بدافزار به ۱۴۰۰ دستگاه منجر شد و برای همین، شرکت مادر (فیسبوک/متا) فوراً علیه NSO در دادگاه اقامه دعوی کرد گزارش آزمایشگاه سیتیزن‌لب نیز نشان داد که این حفره‌ امنیتی به پگاسوس اجازه می‌داد دوربین و میکروفون گوشی را مخفیانه فعال کند و به پیام‌ها، ایمیل‌‌ها و حتی موقعیت مکانی کاربر دسترسی یابد. تیم امنیتی واتس‌اپ به‌سرعت حفره را پیدا کرد و در عرض چند روز آن را هم روی سرورها، هم در به‌روزرسانی‌های نرم‌افزاری برطرف کرد. به‌همین دلیل، آسیب‌پذیری واتس‌اپ یک مشکل موقت بود، نه ضعفی دایمی در طراحی آن که به‌سرعت مدیریت و حل شد. در واقع، بیان این حقیقت بدون اشاره به زمینه‌ زمانی آن، تصویری نادرست از وضعیت امنیتی فعلی واتس‌اپ ارائه می‌دهد. رویکرد جهرمی؛ تفاوت اساسی بین یک نقص موقت و یک ضعف دایمی در طراحی نرم‌افزار را نادیده می‌گیرد و به‌جای اطلاع‌رسانی دقیق، روی ترساندن مردم تمرکز می‌کند.

قدرت در برابر تهدید؛ فراتر از تصور عمومی

ادعای «ضعف نرم‌افزاری داخلی» واتس‌اپ ساده‌سازی بیش از حد گمراه‌کننده‌ای است. امنیت هسته‌ واتس‌اپ بر پایه‌ پروتکل سیگنال بنا شده که در صنعت رمزنگاری به‌عنوان استاندارد طلایی شناخته می‌شود. این پروتکل، رمزنگاری سرتاسری (E2EE) را برای تمام پیام‌ها، عکس‌ها، ویدئو‌ها و تماس‌‌ها به‌صورت پیش‌فرض فعال می‌کند؛ بدین‌مفهوم که محتوای پیام‌‌ها از زمان ارسال تا زمان دریافت، رمزنگاری‌شده باقی می‌ماند و حتی خود واتس‌اپ نیز نمی‌تواند به آن دسترسی پیدا کند. پروتکل به‌کاررفته در واتس‌اپ از مکانیزم‌های پیشرفته‌ای مانند الگوریتم Double Ratchet نیز استفاده می‌کند که برای هر پیام یک کلید رمزنگاری جدید تولید می‌کند و تضمین می‌کند که حتی اگر یک کلید در آینده به خطر بیفتد، پیام‌های قبلی همچنان امن باقی خواهند ماند. با وجود زیرساخت ایمن واتس‌اپ، تهدید واقعی برای کاربران اغلب از طریق حملاتی است که رمزنگاری را دور می‌زنند، نه با شکستن آن؛ حملاتی مانند مهندسی اجتماعی، فیشینگ (ارسال لینک‌های مخرب) و جابه‌جایی سیم‌کارت (SIM Swapping) به‌جای نفوذ به نرم‌افزار، از خطاهای انسانی یا نقاط ضعف در سیستم‌عامل دستگاه بهره‌برداری می‌کنند؛ به‌عنوان مثال، یک هکر می‌تواند با فریب کاربر برای ارسال کد تأیید، حساب واتس‌اپ او را در اختیار بگیرد. بنابراین، ادعای «ضعف نرم‌افزار داخلی» در واتس‌اپ، تفاوت میان یک آسیب‌پذیری فنی موقت و یک نقص در زیرساخت رمزنگاری را نادیده می‌گیرد. در حقیقت، واتس‌اپ یک بستر امن با یک پروتکل رمزنگاری قوی است؛ اما امنیت واتس‌اپ نمی‌تواند از کاربر در برابر خطای انسانی یا از سیستم‌عامل در برابر حملات بسیار پیچیده‌ دولتی محافظت کند.

جاسوسی دولتی؛ ابزار، نه پلتفرم

اظهارنظر درباره استفاده‌ یک «رژیم» از واتس‌اپ برای جاسوسی، در واقعیت ریشه دارد؛ اما ابزار جاسوسی نه خود واتس‌اپ؛ بلکه بدافزار پگاسوس بوده؛ این بدافزار که به‌صورت انحصاری به دولت‌‌ها فروخته می‌شود، برای هدف قرار دادن فعالان حقوق بشر و روزنامه‌نگاران در سراسر جهان استفاده شده؛ بدافزار پگاسوس از آسیب‌پذیری‌های موقتی مانند حفره‌ی امنیتی سال ۲۰۱۹ واتس‌اپ برای نفوذ به دستگاه‌ها استفاده کرده است. موضع واتس‌اپ در قبال درخواست‌های دولتی نیز تفاوت‌های کلیدی و فاحشی را نشان می‌دهد. این شرکت یک تیم تخصصی به‌نام Law Enforcement Response Team (LERT) دارد که هر درخواست دولتی را به‌صورت موردی بررسی می‌کند تا از قانونی‌بودن آن اطمینان حاصل کند. به‌دلیل وجود رمزنگاری سرتاسری، واتس‌اپ به‌صراحت اعلام کرده است که «نمی‌تواند محتوای پیام‌های کاربران خود را در پاسخ به درخواست‌های دولتی ارائه دهد»؛ اما در پاسخ به حکم قانونی معتبر، می‌تواند فراداده‌ها (metadata) مانند اطلاعات حساب، تاریخ آخرین بازدید، آدرس IP و سوابق تراکنش را ارائه کند. این تمایز حیاتی است و نشان می‌دهد که جاسوسی در چنین مواردی از طریق دور زدن و سوءاستفاده از پروتکل‌های امنیتی صورت گرفته است، نه از طریق همکاری واتس‌اپ. واتس‌اپ در سال ۲۰۲۰ حتی از شرکت NSO Group به دلیل سوءاستفاده از پلتفرم خود شکایت کرد و در نهایت نیز برنده‌ دعوای حقوقی خود با NSO شد.

رقابت تجاری؛ انتقادات دوروف در برابر واقعیت تلگرام

ادعای وزیر سابق ارتباطات، مبنی بر تمسخر واتس‌اپ توسط پاول دورف؛ مدیرعامل تلگرام، کاملاً دقیق است؛ دوروف به‌طور علنی واتس‌اپ را «تقلید ارزان» تلگرام خوانده و ادعا کرده که این برنامه، «درهای پشتی» دارد. اظهارات دوروف بخشی از رقابت تجاری آشکار میان تلگرام و واتس‌اپ به‌حساب می‌آید.

در ادامه به تفاوت واتس‌اپ با دو پیام‌رسان بزرگ رقیب هم می‌پردازیم.

واتس‌اپ در میان پیام‌رسان‌ها

بررسی دقیق مدل امنیتی خود تلگرام، تصویری پیچیده‌تر را نشان می‌دهد؛ درحالی که واتس‌اپ رمزنگاری سرتاسری را به‌صورت پیش‌فرض برای تمام چت‌‌ها و تماس‌‌ها فعال کرده، تلگرام این قابلیت را تنها به «چت‌های محرمانه» (Secret Chats) محدود می‌کند؛ بنابراین اکثر کاربران تلگرام در چت‌های عادی و گروهی خود، از لایه‌ی حیاتی امنیتی محروم هستند و پیام‌هایشان روی سرورهای تلگرام، رمزنگاری‌نشده ذخیره می‌شوند. سیگنال به‌دلیل مدل غیرانتفاعی، جمع‌آوری حداقل داده‌ها و متن‌باز بودن کامل، اغلب به‌عنوان امن‌‌ترین پیام‌رسان برای حریم‌خصوصی در نظر گرفته می‌شود. این برنامه برخلاف واتس‌اپ، فراداده‌ها را محافظت می‌کند و از طریق قابلیتی به‌نام Sealed Sender، اطلاعاتی مانند زمان و گیرنده‌ پیام را مخفی نگه می‌دارد. همچنین، سیگنال امکانات بیشتری برای سفارشی‌سازی تنظیمات حریم خصوصی، مانند قابلیت Call Relay برای مخفی‌کردن آدرس IP کاربران در طول تماس، ارائه می‌دهد که واتس‌اپ فاقد آن است. واتس‌اپ با وجود استفاده از پروتکل رمزنگاری قوی، به‌دلیل جمع‌آوری فراداده و وابستگی به شرکت، نگرانی‌هایی را ایجاد می‌کند. در مقابل، تلگرام با وجود انتقادهای شدید به رقبای خود، به دلیل عدم فعال‌سازی پیش‌فرض رمزنگاری سرتاسری و خصوصی ‌بودن کد سرور، در رتبه‌ی پایین‌تری از نظر امنیت قرار می‌گیرد. در نهایت، انتخاب پیام‌رسان به مدل تهدیدات و سطح حساسیت اطلاعاتی هر فرد بستگی دارد.

مسئولیت امنیت دیجیتال با ماست

تحلیل جامع اظهارات وزیر سابق ارتباطات، نشان می‌دهد که ادعاهای او درحالی که ریشه در رخدادهای واقعی دارند، تصویر ناقصی از امنیت واتس‌اپ ارائه می‌دهند. این روایت، تفاوت حیاتی میان یک آسیب‌پذیری موقت در نرم‌افزار و یک ضعف بنیادین در زیرساخت رمزنگاری را نادیده می‌گیرد و به‌جای آن، از حقایق گزینشی برای خلق یک روایت مشخص استفاده می‌کند. واتس‌اپ بستری امن با پروتکل رمزنگاری قوی است؛ اما این امنیت نمی‌تواند از کاربر در برابر خطای انسانی یا از سیستم‌عامل در برابر حملات بسیار پیچیده‌ی دولتی محافظت کند. برای کاربران عادی، به‌روزرسانی منظم برنامه، فعال‌کردن تدابیر امنیتی مانند تأیید هویت دو مرحله‌ای و هوشیاری در برابر کلاهبرداری‌‌ها و لینک‌های مشکوک، مهم‌‌ترین اقدامات امنیتی هستند. در سوی دیگر، هیچ تردیدی وجود ندارد که سازمان‌ها نباید از نرم‌افزار چت عمومی برای انتقال اطلاعات مهم استفاده کنند. در نهایت، در فضای مجازی امروز، مسئولیت اصلی امنیت دیجیتال بر دوش خود کاربران است.

منبع: زومیت