معرفی ویژگی جدید تأیید دستگاه برای جلوگیری از حملات Account Takeover توسط WhatsApp

اپلیکیشن پیام‌رسان فوری محبوب WhatsApp روز پنجشنبه ۱۳ آوریل ۲۰۲۳ یک ویژگی جدید تأیید حساب را معرفی کرد که تضمین می‌کند بدافزاری که روی دستگاه تلفن همراه کاربر اجرا می‌شود، روی حساب کاربر تأثیری نمی‌گذارد.

شرکت متا در اطلاعیه‌ای اعلام کرد[۱]: بدافزارهای دستگاه‌های تلفن همراه امروزه یکی از بزرگ‌ترین تهدیدها برای حریم خصوصی و امنیت افراد هستند زیرا می‌توانند بدون اجازه شما از تلفن شما سوءاستفاده و از WhatsApp شما برای ارسال پیام‌های ناخواسته استفاده کنند.

این اقدام امنیتی که تأیید دستگاه[۲] نام دارد برای کمک به جلوگیری از حملات Account Takeover یا ATO با مسدود کردن اتصال عامل تهدید و اجازه دادن به اهداف آلوده به بدافزار برای استفاده از برنامه بدون هیچ وقفه‌ای طراحی شده است.

به‌عبارت‌دیگر، هدف جلوگیری از استفاده مهاجمان از بدافزار برای سرقت کلیدهای احراز هویت WhatsApp و ربودن حساب‌های قربانی و متعاقباً جعل هویت آن‌ها برای توزیع هرزنامه و لینک‌های فیشینگ به سایر مخاطبین است.

این به‌نوبه خود، با معرفی یک توکن امنیتی که به‌صورت محلی در دستگاه ذخیره می‌شود، یک cryptographic nonce برای تشخیص اینکه آیا یک کلاینت WhatsApp در حال تماس با سرور برای بازیابی پیام‌های دریافتی است، و یک چالش احراز هویت که به‌عنوان یک پینگ نامرئی از سرور به دستگاه کاربر عمل می‌کند، به دست می‌آید.

کلاینت باید هر بار که به سرور متصل می‌شود، کد امنیتی را ارسال کند تا اتصالات مشکوک را شناسایی کند. رمز امنیتی، به‌نوبه خود، هر بار که یک پیام آفلاین از سرور دریافت می‌کند، به‌روز می‌شود.

یک چالش احراز هویت زمانی که کلاینت به چالش از دستگاه دیگری پاسخ می‌دهد، شکست‌خورده در نظر گرفته می‌شود که نشان‌دهنده اتصال غیرعادی ناشی از یک مهاجم است. این باعث می‌شود که اتصال مسدود شود.

اگر هیچ پاسخی از سوی مشتری وجود نداشته باشد، فرآیند “چند بار دیگر” دوباره امتحان می‌شود، پس‌ازآن اگر مشتری همچنان پاسخ ندهد، اتصال مسدود می‌شود.

Attaullah Baig و Archis Apte از Meta دراین‌باره توضیح دادند: “این سه پارامتر به جلوگیری از سرقت کلید احراز هویت و اتصال به سرور WhatsApp از خارج از دستگاه کاربران کمک می‌کند.”

WhatsApp اعلام کرد که تأیید دستگاه برای همه کاربران اندروید ارائه شده است و در حال ارائه برای کاربران iOS است.

این ویژگی بخشی از مجموعه گسترده‌تری از پیشرفت‌های جدید است که برای احراز هویت و تأیید هویت کاربران طراحی شده‌اند، ازجمله نمایش هشدارها هنگام تلاش برای انتقال حساب WhatsApp از یک دستگاه به دستگاه دیگر.

همچنین توسط WhatsApp یک ویژگی شفافیت کلید[۳] راه‌اندازی شده است تا به‌طور خودکار تأیید کند که آیا چت‌ها بدون نیاز به اقدامات اضافی از طرف کاربر رمزگذاری شده‌اند یا خیر.

برای انجام این کار، دایرکتوری کلید قابل حسابرسی جدید ([۴]AKD) را پیاده‌سازی می‌کند که بر اساس پروتکل‌های موجود مانند [۵]CONIKS و [۶]SEEMless است تا به کاربران کمک کند تا امنیت مکالمه خود را تأیید کنند.

این شرکت می‌گوید: «AKD به مشتریان WhatsApp امکان می‌دهد تا به‌طور خودکار تأیید کنند که کلید رمزگذاری کاربر واقعی است و هر کسی را قادر می‌سازد تا اثبات ممیزی صحت دایرکتوری را تأیید کند».

راستی آزمایی در حال حاضر به کاربران در یک چت نیاز دارد[۷] که کد امنیتی (که به‌عنوان یک کد QR و یک شماره ۶۰ رقمی وجود دارد) را با ارسال آن از طریق پیامک یا ایمیل برای شرکت‌کننده از طرف دیگر به‌صورت دستی یا اگر طرفین ازنظر فیزیکی در کنار یکدیگر هستند، با اسکن کد QR مقایسه کنند.

کد امنیتی چیزی نیست جز یک هش منحصربه‌فرد از جفت کلید عمومی/خصوصی[۸] که برای تسهیل ارسال پیام‌های رمزگذاری شده end-to-end ایجاد می‌شود. زمانی که کاربران دستگاه‌ها را عوض[۹] می‌کنند یا WhatsApp را دوباره نصب می‌کنند، می‌تواند تغییر کند.

شفافیت کلید، فرآیند تأیید را با استفاده از یک جریان خودکار که نیاز به یک کد طولانی را برطرف می‌کند، ساده می‌کند، در عوض رکوردی از تغییرات کلید عمومی در یک فهرست را حفظ می‌کند و به مشتری اجازه می‌دهد آن را بررسی کند.

متا توضیح داد: “شفافیت کلید پروتکلی را توصیف می‌کند که در آن سرور [WhatsApp] یک رکورد ضمیمه از mapping بین حساب کاربری و کلید هویت عمومی آن‌ها را حفظ می‌کند.”

WhatsApp قصد دارد این ویژگی را در ماه‌های آینده به‌صورت زنده ارائه کند، اگرچه در حال حاضر یک فهرست راهنمای کلید قابل حسابرسی را برای همه کاربران خود میزبانی و راه‌اندازی می‌کند. این شرکت افزود: «این مکانیسم مهمی است که به کاربران آگاه از امنیت اجازه می‌دهد تا مکالمه شخصی رمزگذاری شده end-to-end را به‌سرعت تأیید کنند».

منابع

[۱] https://blog.whatsapp.com/new-security-features-account-protect-device-verification-automatic-security-codes

[۲] https://engineering.fb.com/2023/04/13/security/whatsapp-device-verification-protects-your-account

[۳] https://engineering.fb.com/2023/04/13/security/whatsapp-key-transparency

[۴] https://github.com/facebook/akd

[۵] https://eprint.iacr.org/2014/1004.pdf

[۶] https://eprint.iacr.org/2018/607.pdf

[۷] https://faq.whatsapp.com/820124435853543#:~:text=What%27s%20the%20%22Verify%20Security%20Code%22%20screen%20in%20the%20contact%20info%20screen%3F

[۸] https://en.wikipedia.org/wiki/Public-key_cryptography

[۹] https://faq.whatsapp.com/1524220618005378

[۱۰] https://thehackernews.com/2023/04/whatsapp-introduces-new-device.html