یک آسیب پذیری امنیتی در واتس اپ به فیس بوک و دیگران اجازه می دهد پیام های رمزنگاری شده واتس اپ را بازبینی کرده و بخوانند.
به گزارش واحد امنیت لرنچی ؛ فیس بوک مدعی است که هیچ کس، حتی خود واتس اپ و کارکنانش، نمی توانند پیام های واتس اپ را بازبینی کنند و این شرکت، حفظ حریم شخصی میلیاردها کاربر واتس اپ را تضمین می کند؛ اما تحقیقات جدید بوئلتر (Boelter) نشان می دهد که نحوه اجرای پروتکل رمزنگاری انتها به انتهای واتس اپ امکان خواندن پیام ها را برای شرکت فراهم می کند.
استفن تور جنسن، رئیس امنیت اطلاعات و ضدنظارت دیجیتال در سازمان اروپایی- بحرینی حقوق بشر یافته های بوئلتر را تایید کرده است: «زمانی که کاربر در حالت آفلاین و در حال ارسال مجدد پیام است، واتس اپ می تواند بدون اطلاع کاربر، کلیدهای امنیتی را تغییر داده و به پیام دسترسی یابد.»
سرور واتس اپ
بوئلتر می گوید: «ممکن است برخی بگویند که این آسیب پذیری فقط امکان جاسوسی از پیام های مستقل را فراهم می کند، نه کل مکالمه را. این طور نیست؛ چرا که سرور واتس اپ می تواند پیام ها را ارسال کند و هیچ اعلانی مبنی بر «پیام به مخاطب ارسال شد» (یا نمایش دو تیک) نشان ندهد. سرور واتس اپ با استفاده از این آسیب پذیری، بعدا می تواند نه فقط رونوشت یک پیام مستقل، بلکه رونوشت کل مکالمه را در اختیار بگیرد.»
آسیب پذیری یاد شده در واتس اپ، که کاربرانی در سراسر دنیا دارد و در کشورهایی با حکومت سرکوبگر نیز استفاده می شود، محرمانگی پیام های ارسال شده را زیر سوال می برد.
پروفسور کرستی بال (Kirstie Ball) بنیان گذار مرکز تحقیقات اطلاعات، نظارت و حریم خصوصی، آسیب پذیری سیستم رمزنگاری واتس اپ را «یک معدن طلا برای سازمان های امنیتی» و «یک خیانت بزرگ به اعتماد کاربران» می داند: «این آسیب پذیری یک تهدید جدی برای آزادی بیان محسوب می شود، زیرا این امکان وجود دارد که هر زمان اراده کنند ببینند شما چه می گویید. ممکن است به عنوان یک کاربر بگویید که چیزی برای مخفی کردن ندارید اما شما نمی دانید که آنها دنبال چه اطلاعاتی می گردند و چه رابطه ای بین اطلاعات به دست آمده برقرار می کنند.»
قانون جدید اختیارات تحقیق در انگلستان (ناظر بر اختیارات و وظایف نهادهای دولتی انگلیس در بازبینی ارتباطات شهروندان) به دولت اجازه می دهد که حجم داده های کاربران را که در اختیار شرکت های خصوصی است، بی آن که مظنون به فعالیت مجرمانه باشند، مورد بازبینی قرار دهد. این قانون شبیه کاری است که سازمان امنیت ملی امریکا انجام می داد و ادوارد اسنودن آن را افشا کرد. دولت انگلیس همچنین این اختیار را دارد که شرکت ها را ملزم به «تدارک توانمندی های فنی» کند که امکان گردآوری اطلاعات از طریق هک و بازبینی را بدهد، و می تواند شرکت ها را ملزم به حذف «حفاظت الکترونیک» داده ها نماید. واتس اپ، عمدا یا سهوا، راه نفوذ دولت به پیام های کاربران را باز گذاشته است.
سخنگوی واتس اپ در گفتگو با گاردین اظهار داشته است: «بیش از یک میلیارد کاربر امروزه از واتس اپ استفاده می کنند چرا که واتس اپ ساده، سریع، قابل اعتماد و امن است. ما همیشه اعتقاد داشته ایم که مکالمات مردم باید امن و محرمانه بماند. سال گذشته، سطح امنیتی بهتری به کاربران خود هدیه دادیم و پیام، عکس، ویدئو، فایل و تماس های انتها به انتها را به طور پیش فرض بر روی حالت رمزنگاری شده قرار دادیم. در عین حال، تلاش ما این است که محصول را ساده نگاه داریم تا همه در سراسر دنیا بتوانند از آن استفاده کنند.»
او افزوده است: «در اجرای پروتکل سیگنال در واتس اپ، گزینه ای برای تنظیم «نمایش اعلان امنیتی» در نظر گرفته ایم که در زمان تغییر کد امنیتی مخاطب، به شما اطلاع رسانی می کند. می دانیم که تغییر کد امنیتی معمولا به این دلیل اتفاق می افتد که یک کاربر، گوشی تلفن همراه خود را عوض کند یا واتس اپ را از نو نصب نماید. این به این دلیل است که در بسیاری از بخش های دنیا، مردم به طور مکرر گوشی و سیم کارت خود را عوض می کنند. در این مواقع، واتس اپ می خواهد مطمئن شود که پیام های کاربران ارسال می شود و در میانه تغییر گوشی یا سیم کارت، از بین نمی رود.»
وی در پاسخ به این پرسش که آیا فیس بوک/ واتس اپ به پیام های کاربران دسترسی داشته یا خیر و این که آیا به درخواست سازمان های دولتی یا سایر گروه های ثالث چنین کاری کرده یا خیر، خبرنگار را به سایت واتس اپ ارجاع داد که جمع آوری داده به درخواست دولت را به طور مفصل توضیح داده است. بعدا واتس اپ در بیانیه ای اظهار داشت: «واتس اپ، در پشتی در اختیار دولت ها قرار نمی دهد و با هر گونه درخواست دولتی مبنی بر ایجاد در پشتی مقابله می کند.»
از زمانی که فیس بوک در سال ۲۰۱۴ واتس اپ را به مبلغ ۲۲ میلیارد دلار خرید، نگرانی ها درباره محرمانگی داده های کاربران واتس اپ به طور مکرر مطرح شده است. در ماه اوت ۲۰۱۵، فیس بوک اعلام کرد که تغییراتی در سیاست محرمانگی واتس اپ پدید آورده است. این تغییرات به شبکه اجتماعی اجازه می داد در راستای اهداف تبلیغاتی و توسعه ای، داده های کاربران واتس اپ و فیس بوک را ترکیب کند. شماره تلفن و اطلاعات مربوط به استفاده از برنامه، از جمله این داده ها ذکر شده است. در حال حاضر و در پی فشارهای دولتی، فیس بوک استفاده از داده های کاربران در راستای اهداف تبلیغاتی را متوقف کرده است.