شکاف امنیتی در واتس‌اَپ و چگونگی برطرف کردن آن

جمعه ۱۳ ژانویه همیشه روزی است که افراد خرافاتی به دنبال پیدا کردن اتفاقات نحسی مثل رد شدن یک گربه سیاه از مسیر آن‌‌ها یا شکستن آینه هستند. با این حال در برخی موارد خبر بد در این روز می‌تواند نحسی این روز را به طور اتفاقی ثابت کند.
حال در این روز، marks یکی از اعضای روزنامه گاردین داستان شکست و جاسوسی در پیام های رمزنگاری شده واتس اَپ را مطرح کرد.

به گزارش سافت گذر و به نقل ازایتنا؛ روزنامه گاردین در گزارشی اختصاصی نوشته است "ادعاهای فیس‌بوک، مالک اصلی واتس‌اَپ، مبنی بر این‌که نفوذ به پیام‌های کاربران در این اپلیکیشن حتی برای این کمپانی و کارمندانش هم ناممکن است» کاملا اشتباه است. اما علت اصلی این نقص، ضعف پروتکل رمزگذاری واتس‌اَپ است که به گفته متخصصان امنیت می‌تواند «تهدیدی عظیم برای آزادی بیان» باشد.

محققان و تحلیل‌گران امنیتی در صحبتی با گاردین بیان کرده اند که واتس‌اَپ، امنیت و رمزنگاری عمومی خود را به عنوان مهم‌ترین ویژگی این اپلیکیشن مطرح کرده و به همین خاطر بسیاری از فعالان، روزنامه‌نگاران و دیپلمات‌ها برای در امان ماندن از جاسوسی و تهدیدهای جاری سایبری به آن پناه برده‌اند، اما حالا با کشف در پشتی (backdoor) شاید وقت تجدید نظر رسیده باشد.

واتس‌اَپ برای رمزنگاری از پروتکلی به نام «سیگنال» استفاده می‌کند که این ویژگی امکان نفوذ به پیام‌ها از سوی کسی را که در میانه فرستنده و گیرنده قرار گرفته، از بین می‌برد. اما حالا کاشف به عمل آمده است که واتس‌اَپ می‌تواند با اعمال کلیدهای رمزنگاری دیگری برای کاربران آفلاین، که هم برای فرستنده و هم گیرنده ناشناخته‌اند، فرستنده را وادار به ارسال مجدد و در نتیجه رمزنگاری مجدد همه پیام‌هایی کند که ارسال‌شان با موفقیت انجام نشده است. با این شیوه امکان رویت پیام‌ها و نظارت بر آنها دست‌کم برای سازندگان واتس‌اَپ (و کمپانی مالک آن فیس‌بوک) میسر خواهد بود.

این تغییرات در رمزنگاری به اطلاع گیرنده نمی‌رسد و فرستنده هم تنها در صورتی پی به موضوع خواهد برد که در تنظیمات «هشدارهای رمزنگاری» این امکان را فعال کرده باشد. حتی این هم پس از ارسال مجدد پیام‌ها انجام خواهد شد؛ یعنی زمانی که جاسوسی به طور کامل انجام شده است و کار از کار گذشته باشد.

پروفسور کریستی بیل، بنیان‌گذار مرکز تحقیقات حریم خصوصی و جاسوسی، می‌گوید: "چنین ضعفی در امنیت واتس‌اَپ، معدن طلایی برای آژانس‌های اطلاعاتی و امنیتی است".
در حالیکه مناقشاتی اطراف این ماجرا وجود دارد، اما آیا این یک نقص محسوب می‌شود یا یک ویژگی؟ واقعیت چین است که این موضوع اگرچه مهم و حیاتی است اما کاربران می‌توانند آن را به دلخواه خود تنظیم کنند.

برای فعال‌سازی آن کاربران به انجام مراحل زیر نیاز دارند:
برای کاربران اندروید، به بخش(Account) حساب کاربری خود بروید، سپس بخش (Security) امنیت را انتخاب کرده و بر روی (Show security notifications) نمایش اطلاعیه امنیتی کلیک کنید.

برای کاربران iOS، در بخش پایین سمت راست روی آیکون چرخ‌دنده کلیک کنید و سپس به بخش Account، Security و Show security notifications کلیک کنید.

اگر که هشدار امنیتی را طبق تصویر بالا فعال کردید و یک مکالمه حساس داشتید و مایلید تا مطمئن شوید هیچ کسی آن‌‌ها را نمی‌خواند، بهترین راه این است که منتظر بمانید تا کاربر آنلاین شود و آن را تایید کنید و رمزنگاری end-to-end را فعال کنید.