WhatsApp

یک افشاگری بزرگ دیگر در سال ۲۰۱۸: یک فرد بیگانه می‌تواند به‌طور مخفیانه چت‌های گروهی خصوصی و رمزنگاری‌شده از نوع end-to-end را در برنامه‌های پیام‌رسان WhatsApp و Signal استراق سمع کند.

با توجه به حفاظت در برابر سه نوع مختلف از مهاجمان، کاربر مخرب، مهاجم شبکه و سرور مخرب، یک پروتکل رمزگذاری از نوع end-to-end، نقش مهمی در امنیت سرویس‌های پیام‌رسان دارد.

هدف اولیه برای داشتن رمزنگاری از نوع end-to-end، عدم اعتماد به سرورهای واسطه به‌گونه‌ای است که هیچ‌کس، حتی شرکت یا سروری که داده‌ها را انتقال می‌دهد، نمی‌تواند پیام‌های شما را رمزگشایی کند یا از موقعیت متمرکز خود سوءاستفاده کند تا سرویس موردنظر را دست‌کاری کند.

به‌بیان‌دیگر، با فرض سناریوی بدترین حالت، یک کارمند فاسد شرکت نباید قادر باشد تا ارتباطات رمزگذاری شده end-to-end را به هر طریقی استراق سمع کند.

بااین‌حال، تاکنون حتی سرویس‌های پیام‌رسان رمزنگاری از نوع end-to-end و محبوب مانند WhatsApp، Threema و Signal نتوانستند به‌طور کامل به سیستم zero-knowledge دسترسی پیدا کنند.

محققان Ruhr-Universität Bochum در آلمان متوجه شدند که هرکسی که سرورهای WhatsApp  یا Signal را کنترل می‌کند، به‌طور خصوصی می‌تواند اعضای جدید را به هر گروه خصوصی اضافه کند که به‌این‌ترتیب آن‌ها قادر به جاسوسی در مکالمات گروهی و حتی بدون اجازه از مدیران هستند.

همان‌طور که توسط محققان توضیح داده شده است، در یک ارتباط دوطرفه (زمانی که تنها دو کاربر با یکدیگر ارتباط برقرار می‌کنند) سرور نقش محدودی دارد، اما در مورد چت چند کاربر (گپ گروهی که پیام‌های رمزگذاری شده برای بسیاری از کاربران ارسال می‌شود)، نقش سرورها برای مدیریت کل فرآیند افزایش می‌یابد.

این مشکل نیز در همین بخش به وجود آمده است، یعنی اعتماد به سرورهای شرکت و اقدامات آن‌ها برای مدیریت اعضای گروه که درنهایت به مکالمه گروهی دسترسی کامل دارند.

همان‌طور که در مقاله جدید منتشرشده توسط RUB با عنوان More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema توضیح داده شده است[۱]، ازآنجاکه هر دو پیام‌رسان‌های Signal و WhatsApp موفق به تصدیق کسی که به‌عنوان عضو جدید به گروه اضافه می‌شود نشدند، این امکان برای یک فرد غیرمجاز (نه مدیر گروه یا یکی از اعضا) وجود دارد که بتواند یک عضو جدید را به چت گروهی اضافه کند.

همچنین، اگر بدانید که اضافه کردن یک عضو جدید به گروه یک هشدار را به سایر اعضا نشان خواهد داد، این موضوع هم قابل‌بررسی است.

به گفته محققان، یک مدیر یا کارمند بدخواه با دسترسی به سرور می‌تواند پیام‌های مدیریت گروهی را که می‌بایست به اعضای گروه، عضو جدید را هشدار دهد، دست‌کاری یا مسدود کند.

در این مقاله توضیح داده شده است: “ضعف‌های توصیف‌شده، حمله‌کننده‌ای که سرور WhatsApp را کنترل می‌کند یا اینکه قابلیت شکستن امنیت لایه انتقال را دارد، قادر می‌سازد تا کنترل کامل یک گروه را بر عهده گیرد. اما ورود به یک گروه، از خود رد به‌جا می‌گذارد زیرا این عملیات در رابط کاربری گرافیکی لیست می‌شود. بنابراین سرور WhatsApp می‌تواند از این واقعیت استفاده کند که به‌طور مخفیانه پیام‌ها را مجدداً مرتب کرده و در گروه قرار دهد. به‌این‌ترتیب می‌توانید پیام‌های ارسال‌شده به یک گروه را ذخیره کنید، محتوای آن‌ها را اول بخوانید و سپس تصمیم بگیرید که کدام ‌یک از آن‌ها را به اعضای گروه تحویل دهید. علاوه بر این، سرور WhatsApp می‌تواند این پیام‌ها را به اعضا منتقل کند به‌طوری‌که انتخاب زیرکانه ترکیبی از پیام‌ها به مخفی کردن رد آن‌ها کمک می‌کند.”

WhatsApp این مسئله را تصدیق کرده است، اما استدلال می‌کند که اگر هر عضو جدید توسط هرکسی به یک گروه اضافه شود، اعضای دیگر گروه به‌طورقطع مطلع خواهند شد.

سخنگوی WhatsApp به Wired گفته است[۲]: “ما این مشکل را با دقت بررسی کردیم. اعضای موجود، زمانی که افراد جدیدی به گروه WhatsApp اضافه می‌شوند، مطلع می‌شوند. ما WhatsApp را ساخته‌ایم، بنابراین پیام‌های گروهی را نمی‌توان به یک کاربر پنهان ارسال کرد. حفظ حریم خصوصی و امنیت کاربران ما در WhatsApp بسیار مهم است. به همین دلیل ما اطلاعات بسیار کمی را جمع‌آوری می‌کنیم و تمام پیام‌های ارسال‌شده در WhatsApp به‌صورت end-to-end رمزگذاری می‌شوند.”

اما اگر عضوی از یک گروه با اعضای بسیار انتخابی نباشید، ما مطمئن هستیم که بسیاری از شما به‌راحتی هشدارهای افزوده شدن اعضای جدید را نادیده می‌گیرید.

محققان همچنین به شرکت‌ها توصیه کردند که می‌توانند این مسئله را فقط با اضافه کردن یک مکانیزم تأیید اعتبار برطرف کنند تا اطمینان حاصل کنند که پیام‌های مدیریت گروهی امضاشده تنها از طرف مدیر گروه می‌آیند.

بااین‌حال، اجرای این حمله آسان نیست، بنابراین کاربران نباید در مورد آن نگران باشند.

منابع

[۱] https://eprint.iacr.org/2017/713.pdf

[۲] https://www.wired.com/story/whatsapp-security-flaws-encryption-group-chats

[۳] https://thehackernews.com/2018/01/whatsapp-encryption-spying.html