مقالات

چگونه امنیت خود را در Whatsapp افزایش دهیم؟

-


نویسنده: Glenn Fleishman
منبع: Mac World

27

در گزارشي از گاردين، بيان شده است که Whatsapp داراي يک حفره مخفي (Backdoor)  است که اجازه مي دهد افراد ناخواسته به پيام‌ها، دسترسي داشته باشند. البته اين موضوع کاملا روشن نيست.
اخيرا تيتري در نشريه گاردين توجهات زيادي را به خود جلب کرد: "آسيب پذيري Whatsapp، اجازه جاسوسي از پيام‌هاي رمزگذاري شده را مي‌دهد". ادعا شده بود که ايرادي که اخيرا کشف شده است، اجاره مي‌دهد پيام‌هايي را که براي شخصي شناخته شده و مورد تاييد، با استفاده از ايمن‌ترين روش، ارسال کرده‌ايد، توسط افرادي که خود را به عنوان گيرندگان مورد اطمينان جا زده‌اند، پاسخ داده شود و يا اينکه مجددا براي آن‌ها ارسال شود.


مشخص شد که هيچ يک از اين ادعاها دقيق نبوده‌اند و يا به گونه‌اي بيان نشده‌اند که به کاربران Whatsapp براي افزايش ايمني آن‌ها کمک کنند. اين بدان معني نيست که Whatsapp بدون ايراد ساخته شده است (ادعا هم نداريم که گاردين برنامه‌اي در اين خصوص داشته است). چند ماه پيش، نحوه تنظيم Whatsapp براي اينکه تا حد امکان ايمن باشد را براي شما توضيح داديم؛ زيرا تنظيمات پيش‌فرض و هشدارهاي نرم‌افزار به گونه‌اي هستند که مي‌توانند پيام‌هاي شما را در معرض مداخله مجرمان و يا برنامه‌هاي مراقبت جمعي آژانس‌هاي امنيتي قرار دهند. براي مثال، نرم‌افزار شما را تشويق مي‌کند تا از پيام‌هاي خود، بر روي سرور نسخه پشتيبان تهيه کنيد که در نتيجه، رمزگذاري دو سويه سيستم پيام رسان را از بين مي‌برد؛ بايد بدانيد که به اين درخواست بايد پاسخ منفي بدهيد.
Whatsapp نيرومند باقي مي‌ماند و اگر به گونه‌اي که متخصصان امنيت پيشنهاد مي‌کنند و ما آن را مکتوب کرده‌ايم تنظيم شود، تقريبا استانداردي طلايي خواهد بود. اما رخنه مورد اشاره بيشتر به اين نکته تاکيد خواهد داشت که اطلاعات در خصوص تغيير در محيط پنهان رمزگذاري بايد در اختيار کاربران قرار گيرد. بزرگ‌ترين مشکل، آموزش نحوه توجه به هشدارها به افرادي است که متکي بر Whatsapp هستند تا در دام اين مسائل نيفتند.

حفره‌هاي مخفي، ايرادات و امکانات

اولين اشتباه مقاله گاردين اين بوده است که اين موضوع را تحقيق "جديد" و مقاله خود را "اختصاصي" ناميده است؛ اين خطاها در نسخه‌اي که در زمان نگارش اين مقاله به آن28 رجوع شد، همچنان باقي مانده بودند. با توبياس بولتر، محققي که اولين بار اين مشکل امنيتي را کشف کرد، تماس گرفتيم. او از طريق ايميل پاسخ داد که: "اين مشکل در آوريل سال 2016 در بلاگ من منتشر شده بود؛ اما رسانه‌هاي عمومي امروز به آن پرداخته‌اند و در اين ميان گاردين پيشتاز بوده است". اين مسئله جديد يا اختصاصي نيست و حتي پيش از اين محرمانه هم نبوده است (بولتر آن را ايرادي مي‌داند که احتمالا توسط مقامات دولتي قابل بهره برداري مي‌باشد و بايد برطرف گردد).

ثانيا، مقاله آن را حفره مخفي ناميده است، در صورتي که اينگونه نيست. تيتر اصلي از اصطلاح حفره مخفي استفاده کرده است که چندين بار در متن هم تکرار شده است. حفره مخفي، حفره‌اي عمدي است که در نرم‌افزار تعبيه مي‌گردد تا اجازه دسترسي غير قابل شناسايي بدون رضايت کاربر را فراهم نمايد و کاربران سيستم تصور مي‌کنند که اطلاعات آن‌ها محرمانه و ايمن است. محقق حوزه امنيت، جاناتان زيارسکي، توسعه دهنده Little Flocker، در مقاله‌اي به جزئيات بيشتري پرداخته است و واژه حفره مخفي را دقيقا توضيح داده است (go.macworld/backdoordef).


اگر کسي بتواند راه ورود مجزايي در زيرساخت‌هاي Whatsapp پيدا کند که از طريق آن اجازه پيدا کند که خود را با دستگاهي جديد در گفتگويي که بين دو طرف برقرار است وارد کند: چنين نقطه ورودي مي‌تواند حفره مخفي باشد. اما آن چيزي که در اينجا مطرح شده است، حالت مرد مياني (man-in-the-middle) است که سيستم به درستي آن را تشخيص مي‌دهد.


در نهايت، محدوده مشکل، آن طور که در مقاله به آن اشاره شده است، بسيار وسيع مي‌باشد و به طور فني و کامل مشخص نشده است؛ حتي از پست اصلي بولتر اين طور برداشت مي‌شود که آيا محدوده وسيع‌تري از آسيب پذيري مي‌تواند وجود داشته باشد، هر چند او به درستي تداخلي که اتفاق مي‌افتد و زمان آن را تصوير کرده است. در واقع، فرصت محدودي براي شخص مداخله‌گر براي دسترسي به اطلاعات وجود دارد.


بياييد با نگاهي به مقصود حفره مشاهده شده، وارد جزئيات نحوه ارتقاء امنيت شما در Whatsapp شويم.
با استفاده از Whatsapp، شما ارتباطي مطمئن با ساير افراد که با آن‌ها معاشرت داريد، برقرار مي‌نماييد. بهترين توصيه، همان طور که در مقاله سال 2016 نيز به آن اشاره کرديم، اين است که عدد مخفي (Secret Number) يکديگر را حضوري يا از طريق صوت و يا هر روش ديگري به جز از داخل Whatsapp تاييد (Verify) نماييد. پس از آن، علامت قفل مخفي بر روي ارتباطات خود با آن شخص خواهيد داشت.
اگر طرف مقابل گوشي خود را به دليل گم شدن، خرابي، به‌روز‌رساني و يا هر دليل ديگري تعويض نمايد، مادامي که Security Notification روشن باشد، در گفتگوي خود با آن شخص، هشداري به شما داده مي‌شود و بايد مجددا عدد مخفي را بازبيني کنيد (در iOS، به بخش تنظيمات Whatsapp برويد، گزينه Account و سپس Security را انتخاب نماييد و مطمئن شويد که Show Security Notification روشن باشد).


چيزي که بولتر در ماه آوريل به آن اشاره کرده و به فيسبوک گزارش شده بود، به اين موضوع اشاره داشت که شانس اندکي در رابطه با پيام‌هاي مخابره نشده وجود دارد تا افرادي که به شماره تلفن ثبت شده شخص در Whatsapp دسترسي دارند، بتوانند در آن‌ها مداخله کنند. ترتيب اين کار به شرح زير مي‌باشد:


• يک يا چند پيام به مقصد نمي‌رسند. اين پيام‌ها در نسخه فرستنده در Whatsapp با يک تيک نمايش داده مي‌شوند. تمام پيام‌هاي ارسال شده که تاييد مشاهده شدن توسط گيرنده را دارند، با دو تيک آبي رنگ نمايش داده مي‌شوند.
• شخص مجرم به شماره تلفن ثبت شده در Whatsapp مربوط به حساب کاربري گيرنده پيام دسترسي پيدا مي‌کند و قبل از اينکه گيرنده اصلي مجددا آن‌لاين شود و بتواند پيام ارسال نشده را دريافت کند، از دستگاهي ديگر استفاده مي‌نمايد.
• شخص مجرم آن پيام‌ها را دريافت مي‌کند و ارسال کننده پيام‌ها در Whatsapp هشداري دريافت مي‌کند که کليد گيرنده تغيير کرده است.


پيام‌هايي که پيش از اين دريافت شده‌اند، مجددا ارسال نمي‌شوند. تنها پيام‌هايي که در صف ارسال هستند، فرستاده مي‌شوند (و با دو تيک خاکستري رنگ نشان‌گذاري مي‌شوند). فرستنده از اين موضوع مطلع مي‌شود. حمله کننده‌اي که ابزارهاي امنيتي و ماموراني را که به خدمت گرفته شده باشند در اختيار نداشته باشد، براي اطمينان از اينکه گيرنده آف‌لاين باشد و بتواند به شماره تلفن وي دسترسي داشته باشد و اينکه پيام بدرد بخوري براي ردگيري ارسال شده باشد، در مضيقه مي‌باشد (اين موضوع که شماره‌هاي تلفن و پيام‌هاي کوتاه امن نيستند و مجرمان و دولت‌ها مي‌توانند شماره شخصي را به شماره‌اي ديگر متصل سازند و يا اينکه مداخله کنند و پيام‌هاي کوتاه ارسال نمايند، صحيح مي‌باشد).
همچنين هشدار امنيتي شرايط بازي را تغيير مي‌دهد: شخص مداخله کننده آشکار مي‌کند که مرد مياني (MitM) است و در اين حالت فرستنده پيام مي‌تواند شخص اصلي، رسانه‌ها، مجريان قانون و يا هر کس ديگري را مطلع نمايد؛ زيرا براي اينکه اين اتفاق بيفتد، ارسال کننده پيام بايد آن‌لاين باشد تا اين اتفاق رخ دهد. در حالت حفره مخفي، چنين هشداري نمايش داده نمي‌شود.


29Whatsapp از پروتکل سيگنال (Signal) که توسط Open Whisper Systems طراحي شده است، استفاده مي‌کند. اين شرکت برنامه پيام رسان خود به نام Signal را دارد که به صورت رايگان در دسترس مي‌باشد. در نرم‌افزار Signal، پيام‌هايي که در صف قرار گرفته‌اند، به آن شکل ارسال نمي‌شوند؛ به کاربر هشدار داده مي‌شود و وي بايد عواقب محتمل آن را بپذيرد و يا اينکه براي ادامه، مجددا فرآيند بازبيني را انجام دهد. افرادي که ممکن است به صورت "تصادفي" (يک نفر در آن واحد)، هدف قرار داده شوند، احتمالا به Whatsapp و حتي سيگنال متکي نخواهند بود؛ افرادي که نگران مداخله "عمومي" هستند، مانند ادعاهايي که در خصوص جمع آوري وسيع اطلاعات در بسياري از کشورها مي‌شود، در اين شرايط آسيب پذير نيستند و بيشتر دوستان و آشنايان آن‌ها در حال حاضر از Whatsapp استفاده مي‌کنند و يا به استفاده کنندگان آن خواهند پيوست (موسس Open Whisper، موکسي مارلينسپايک، نيز پستي در وبلاگ در رابطه با مقاله گاردين منتشر کرده است).


اما تا اينجاي کار، شاهد هستيم که آسيب پذيري وسيع‌تري در نرم‌افزار iMessage وجود دارد؛ زيرا اپل از سيستم مديريت يکپارچه کليدهاي تبادل استفاده مي‌کند که بر کاربران پوشيده است. محققان سال‌هاست که هشدار مي‌دهند و اخيرا نيز در تست‌هاي امنيتي در ماه مارس سال 2016 ايرادات جزئي‌تري نيز مشخص شده‌اند که در نتيجه آن‌ها چنين تمرکزي مي‌تواند اجازه مداخله از طريق يک حمله موفق به زيرساخت‌ها و يا از طريق فرمان‌هاي حکومتي مخفي را بدهد. در اين شرايط اگر iMessage دچار مشکل شود، کاربران هيچگاه متوجه نخواهند شد که اشخاص ديگر در حال مطالعه پيام‌هاي آن‌ها هستند.

به جزئيات هشدار دهنده توجه کنيد

نتيجه مطالب بيان شده اين نيست که برداشت گاردين از جزئيات و اثر مقاله مزبور اشتباه بوده است؛ گرچه اين روزنامه اين اشتباه را انجام داده است. ليکن نتيجه اصلي اين است که شما مي‌توانيد با توجه بيشتر به هشدارها و پيام‌هايي که براي اين منظور طراحي شده‌اند، امنيت خود را قوي‌تر نماييد:
• مطمئن شويد که Show Security Notifications روشن باشد.
• تمام مخاطبان را پيش از شروع يک گفتگو، کنترل و بازبيني (Verify) نماييد.
• هرگاه پيامي مبني بر تغيير کد امنيتي گيرنده دريافت کرديد، آن مخاطب را مجددا کنترل و بازبيني کنيد.
• اگر نمي‌توانيد کنترل و بازبيني مجدد انجام دهيد، بلافاصله به تمام افرادي که با ارتباطات شما مرتبط هستند و يا به گيرنده، هشدار دهيد.


اگر لازم است تا کاملا مطمئن شويد که هر پيامي که ارسال مي‌نماييد (مثلا پيام خريد يک بطري شير) در زماني که گيرنده آف‌لاين است به هيچ وجه توسط افراد ناشناس دريافت نخواهد شد، از نرم‌افزار سيگنال (که رايگان است) استفاده کنيد و دوستان خود را براي استفاده از آن تشويق کنيد.
Whatsapp مي‌تواند گزينه‌اي را اضافه نمايد تا ارسال پيام‌ها پيش از کنترل و بازبيني را غيرفعال نمايد؛ چنين کاري مشکل فعلي را خنثي مي‌نمايد. البته اين مطالب طولاني براي موضوعي بيان شد که از ديدگاه اثرگذاري، بسيار کم اهميت بود.

مترجم: علیرضا هاشمی


سایر مقالات

READ ARTICLE

با استفاده از تگ "rel="canonical از محتوا و مطالب وب سایت خود محافظت کنید

READ ARTICLE

4 روش حفظ حریم شخصی آن‌لاین

READ ARTICLE

چگونه صفحات وب را به صورت مخفی مرور و از ردگیری مداوم بر روی مک، آیفون و آی‌پد دوری کنیم؟

READ ARTICLE

آنتی ویروس Webroot ویندوز را به عنوان بدافزار و فیس‌بوک را به عنوان سایت فیشینگ شناسایی می‌کند !