واتساپ به دلیل به خطر افتادن دادههای بیش از ۲ میلیارد کاربرش تحت بررسی دقیق قرار گرفته است، اما آیا مشکل اصلی مربوط به رمزنگاری این پیامرسان است؟
وبسایت اینترسپت در تاریخ ۲۲ مه ۲۰۲۴ محتوای یک “ارزیابی تهدید” داخلی را فاش کرد که در آن مهندسان واتساپ درباره آسیبپذیریهایی که میتواند به سازمانهای دولتی امکان دور زدن رمزنگاری این پیامرسان را بدهد، بحث کردهاند.
سه روز بعد، ایلان ماسک در حساب «ایکس» خود ادعا کرد که واتساپ هر شب دادههای کاربران را خروجی میگیرد.
ویل کتکارت، رئیس واتساپ، در هر دو مورد برای شفافسازی به شبکههای اجتماعی آمد و تاکید کرد که رمزنگاری واتساپ امن است و پیامهای کاربران کاملاً خصوصی هستند. با این حال، این موضوعات به رمزنگاری مربوط نمیشوند، بلکه مسئله اصلی “فراداده” است.
مسئله فراداده
واتساپ از رمزنگاری نقطه به نقطه برای محافظت از ارتباطات کاربران استفاده میکند، به گونهای که تنها فرستنده و گیرنده میتوانند پیامها را بخوانند. اما در عین حال، جزئیات به ظاهر بیاهمیت مربوط به فعالیتهای پیامرسانی کاربران را جمعآوری میکند.
این اطلاعات شامل آدرس IP، شماره تلفنهایی که با آنها تماس گرفتهاید و زمان مکالمات میشود. اگرچه ممکن است این اطلاعات مهم به نظر نرسند، اما حتی چنین ردپاهای دیجیتالی کوچکی میتوانند برای شناسایی کاربران استفاده شوند. برای مثال، یک قطعه فراداده شامل ایمیل بازیابی “پروتون میل” منجر به دستگیری یک فعال اهل کاتالان شد.
سیاست حریم خصوصی واتساپ
واتساپ اطلاعات گستردهای از جمله نحوه استفاده و مدت فعالیت کاربران را ثبت میکند. سایر آمار قابل شناسایی مانند جزئیات شبکه، مرورگر استفاده شده، ارائهدهنده خدمات اینترنت (ISP) و شناسههای مرتبط با محصولات دیگر متا نظیر اینستاگرام و فیسبوک نیز جمعآوری میشوند.
واتساپ آدرس IP کاربران را هنگام استفاده از سرویس ثبت میکند که میتواند برای ردیابی مکان آنها استفاده شود. حتی اگر کاربران ویژگیهای مکانمحور را غیرفعال کنند، آدرس IP و سایر اطلاعات جمعآوری شده میتواند برای ارزیابی موقعیت مکانی کلی کاربران استفاده شود.
تعهدات قانونی و ریسکهای امنیتی
واتساپ بر اساس قانون موظف است این اطلاعات را در طول تحقیقات با مقامات قانونی به اشتراک بگذارد. حتی اگر رمزنگاری واتساپ غیرقابل نفوذ باشد، جمعآوری دادهها میتواند مدل حریم خصوصی این شرکت را تحت تأثیر قرار دهد.
این نقص امنیتی که میتواند رمزنگاری را دور بزند، به بهرهبرداری از آسیبپذیریهای تحلیل ترافیک مرتبط است و باز هم مسئله به فراداده برمیگردد. این موضوع جدیدی نیست و واتساپ به وضوح در سیاستهای خود اعلام کرده است.
نگرانیهای مهندسان واتساپ
تکنیکهای نظارت و تجسس به طور مداوم در حال پیشرفت هستند. تیم امنیت داخلی واتساپ موارد متعددی از حملات مبتنی بر همبستگی را شناسایی کرده است که در آن تحلیل دادههای رمزنگاری شده مرتبط با فراداده قابل مشاهده، میتواند حفاظتهای حریم خصوصی این اپلیکیشن را دور بزند. بدتر از آن، این نوع ردیابی میتواند برای سایر اپلیکیشنهای پیامرسان نیز استفاده شود.
استفاده تجاری از فراداده
ادعای ایلان ماسک نیز به مسئله فراداده اشاره دارد. به گفته او، متا ممکن است از این جزئیات ارزشمند برای اهداف تجاری استفاده کند. این موضوع در سیاست حریم خصوصی و شرایط استفاده از سرویس واتساپ نیز ذکر شده است.
طبق گزارش TechRadar، این بدان معناست که پیامهای کاربران همیشه خصوصی هستند، اما واتساپ فعالانه از فراداده برای ساخت پروفایل دیجیتالی کاربران در سراسر پلتفرمهای متا استفاده میکند.
