افشای تکان‌دهنده‌ای درباره امنیت واتس‌اپ

واتس‌اپ به دلیل به خطر افتادن داده‌های بیش از ۲ میلیارد کاربرش تحت بررسی دقیق قرار گرفته است، اما آیا مشکل اصلی مربوط به رمزنگاری این پیام‌رسان است؟

وب‌سایت اینترسپت در تاریخ ۲۲ مه ۲۰۲۴ محتوای یک “ارزیابی تهدید” داخلی را فاش کرد که در آن مهندسان واتس‌اپ درباره آسیب‌پذیری‌هایی که می‌تواند به سازمان‌های دولتی امکان دور زدن رمزنگاری این پیام‌رسان را بدهد، بحث کرده‌اند.

سه روز بعد، ایلان ماسک در حساب «ایکس» خود ادعا کرد که واتس‌اپ هر شب داده‌های کاربران را خروجی می‌گیرد.

ویل کت‌کارت، رئیس واتس‌اپ، در هر دو مورد برای شفاف‌سازی به شبکه‌های اجتماعی آمد و تاکید کرد که رمزنگاری واتس‌اپ امن است و پیام‌های کاربران کاملاً خصوصی هستند. با این حال، این موضوعات به رمزنگاری مربوط نمی‌شوند، بلکه مسئله اصلی “فراداده” است.

مسئله فراداده

واتس‌اپ از رمزنگاری نقطه به نقطه برای محافظت از ارتباطات کاربران استفاده می‌کند، به گونه‌ای که تنها فرستنده و گیرنده می‌توانند پیام‌ها را بخوانند. اما در عین حال، جزئیات به ظاهر بی‌اهمیت مربوط به فعالیت‌های پیام‌رسانی کاربران را جمع‌آوری می‌کند.

این اطلاعات شامل آدرس IP، شماره تلفن‌هایی که با آن‌ها تماس گرفته‌اید و زمان مکالمات می‌شود. اگرچه ممکن است این اطلاعات مهم به نظر نرسند، اما حتی چنین ردپاهای دیجیتالی کوچکی می‌توانند برای شناسایی کاربران استفاده شوند. برای مثال، یک قطعه فراداده شامل ایمیل بازیابی “پروتون میل” منجر به دستگیری یک فعال اهل کاتالان شد.

سیاست حریم خصوصی واتس‌اپ

واتس‌اپ اطلاعات گسترده‌ای از جمله نحوه استفاده و مدت فعالیت کاربران را ثبت می‌کند. سایر آمار قابل شناسایی مانند جزئیات شبکه، مرورگر استفاده شده، ارائه‌دهنده خدمات اینترنت (ISP) و شناسه‌های مرتبط با محصولات دیگر متا نظیر اینستاگرام و فیس‌بوک نیز جمع‌آوری می‌شوند.

واتس‌اپ آدرس IP کاربران را هنگام استفاده از سرویس ثبت می‌کند که می‌تواند برای ردیابی مکان آن‌ها استفاده شود. حتی اگر کاربران ویژگی‌های مکان‌محور را غیرفعال کنند، آدرس IP و سایر اطلاعات جمع‌آوری شده می‌تواند برای ارزیابی موقعیت مکانی کلی کاربران استفاده شود.

تعهدات قانونی و ریسک‌های امنیتی

واتس‌اپ بر اساس قانون موظف است این اطلاعات را در طول تحقیقات با مقامات قانونی به اشتراک بگذارد. حتی اگر رمزنگاری واتس‌اپ غیرقابل نفوذ باشد، جمع‌آوری داده‌ها می‌تواند مدل حریم خصوصی این شرکت را تحت تأثیر قرار دهد.

این نقص امنیتی که می‌تواند رمزنگاری را دور بزند، به بهره‌برداری از آسیب‌پذیری‌های تحلیل ترافیک مرتبط است و باز هم مسئله به فراداده برمی‌گردد. این موضوع جدیدی نیست و واتس‌اپ به وضوح در سیاست‌های خود اعلام کرده است.

نگرانی‌های مهندسان واتس‌اپ

تکنیک‌های نظارت و تجسس به طور مداوم در حال پیشرفت هستند. تیم امنیت داخلی واتس‌اپ موارد متعددی از حملات مبتنی بر همبستگی را شناسایی کرده است که در آن تحلیل داده‌های رمزنگاری شده مرتبط با فراداده قابل مشاهده، می‌تواند حفاظت‌های حریم خصوصی این اپلیکیشن را دور بزند. بدتر از آن، این نوع ردیابی می‌تواند برای سایر اپلیکیشن‌های پیام‌رسان نیز استفاده شود.

استفاده تجاری از فراداده

ادعای ایلان ماسک نیز به مسئله فراداده اشاره دارد. به گفته او، متا ممکن است از این جزئیات ارزشمند برای اهداف تجاری استفاده کند. این موضوع در سیاست حریم خصوصی و شرایط استفاده از سرویس واتس‌اپ نیز ذکر شده است.

طبق گزارش TechRadar، این بدان معناست که پیام‌های کاربران همیشه خصوصی هستند، اما واتس‌اپ فعالانه از فراداده برای ساخت پروفایل دیجیتالی کاربران در سراسر پلتفرم‌های متا استفاده می‌کند.