«با یک تماس ساده از طریق واتساپ، گوشی قابل هک است» این ادعای محمدجواد آذری جهرمی، وزیر ارتباطات دولت دوازدهم درباره‌ی ضعف‌های امنیتی واتساپ، موجی از بحث و تردید را برانگیخت.

به گزارش زومیت، روزانه میلیاردها نفر برای ارتباطات شخصی و حتی کاری از پیام‌رسان‌ها استفاده می‌کنند و طبیعی است که امنیت و حریم خصوصی این ابزارها زیر ذره‌بین باشد؛ اما واقعاً چقدر از صحبت‌های جهرمی با واقعیت هم‌خوانی دارد؟

آیا واتساپ به‌سادگی با یک تماس تلفنی هک می‌شود یا این تصوری ساده‌انگارانه است؟ گزارش پیش‌رو با هدف روشن‌سازی حقایق و ارائه‌ی تحلیل بی‌طرفانه، اظهارات جهرمی را از منظر منابع معتبر و متخصصان امنیت سایبری مورد راستی‌آزمایی قرار می‌دهد؛ در ادامه با زومیت همراه باشید.

محمدجواد آذری جهرمی در مصاحبه‌ای با خبرگزاری دانشجو صراحتاً نسبت به امنیت واتساپ ابراز تردید کرد. او تأکید داشت که «واتساپ برای حفظ امنیت داخلی نرم‌افزار ضعیف است و حتی پاول دوروف، بنیان‌گذار تلگرام بارها این پیام‌رسان را به سخره گرفته»؛ وزیر سابق ارتباطات کشور مدعی شد «واتساپ در برابر حملات سایبری مقاومت پایینی دارد و رژیم صهیونیستی پیش‌تر از همین بستر برای نفوذ استفاده کرده است».

وزیر سابق ارتباطات مدعی شد «با یک تماس ساده از طریق واتساپ می‌توان گوشی را هک کرد» که به‌نوعی به وجود حفره‌های امنیتی احتمالی در تماس‌های واتساپ اشاره دارد. جهرمی همچنین خاطرنشان کرد که بنا بر دستورالعمل‌های امنیتی، استفاده از واتساپ برای تبادل اطلاعات محرمانه توسط مسئولان و نظامیان مجاز نیست و این ممنوعیت از گذشته ابلاغ شده؛ از نگاه او، واتساپ تهدید بالقوه‌ی امنیتی است و به‌ویژه در شرایط جنگی، هرگونه ساده‌انگاری درباره‌ی امنیت آن می‌تواند خطرناک باشد.

جهرمی به احتمال سوءاستفاده‌ی دولت آمریکا از داده‌های واتساپ نیز اشاره می‌کند. وی می‌گوید واتساپ مدعی است که پیام‌ها را ذخیره نمی‌کند و صرفاً از «اطلاعات سایه» (احتمالاً متادیتا) بهره می‌گیرد؛ هرچند که تاکنون گزارش موثقی مبنی بر نقض این ادعا توسط متا منتشر نشده؛ اما چون واتساپ زیرمجموعه‌ی یک شرکت آمریکایی است و طبق قوانین ایالات متحده فعالیت می‌کند، جهرمی تحلیل کرد که شاید تحت قوانین آن کشور، برای جاسوسی به‌کار گرفته شود؛ هرچند که او خود نیز اذعان داشت که شواهدی دال بر چنین سوءاستفاده‌ای وجود ندارد.

به‌بیان دیگر، جهرمی نگرانی‌های حاکمیتی درباره‌ی سرویس‌های خارجی را یادآور شد؛ نگرانی از اینکه شاید دولت‌های بیگانه در شرایط خاص به داده‌های کاربران دسترسی پیدا کنند؛ حتی اگر هنوز مدرکی در این باره منتشر نشده باشد. آنچه از مجموع اظهارات جهرمی برمی‌آید، ترسیم تصویری تیره‌وتار از امنیت واتساپ است. دیدگاه جهرمی در بخشی از موارد ریشه در واقعیت دارد؛ اما به‌نظر تمام واقعیت را منعکس نمی‌کند.

اظهارات جهرمی را می‌توان بر چهار محور متمرکز دانست: امکان هک‌شدن گوشی با یک تماس ساده‌ی واتساپ؛ ضعف نرم‌افزاری واتساپ و مقاومت پایین آن در برابر حملات سایبری؛ استفاده‌ی «رژیم صهیونیستی» از واتساپ برای جاسوسی؛ انتقاد مکرر پاول دورف، مدیرعامل تلگرام از واتساپ؛ برای آنکه به صحت‌وسقم هریک از این موارد پی ببریم، باید آن‌ها را زیر ذره‌بین قرار دهیم.

ادعای هک‌شدن گوشی هوشمند تنها با یک تماس واتساپ، به رویداد امنیتی واقعی و جدی در سال ۲۰۱۹ اشاره دارد. در ماه مه آن سال، یک آسیب‌پذیری بسیار خطرناک از نوع «حمله‌ی بدون کلیک» (Zero-Click) در واتساپ کشف شد که به مهاجم اجازه می‌داد بدون نیاز به هیچ‌گونه تعاملی از سوی قربانی، مانند کلیک روی یک لینک یا پاسخ به یک تماس، بدافزار جاسوسی را روی دستگاه او نصب کند. این حمله با سوءاستفاده از یک باگ در فرآیند مدیریت تماس‌های صوتی واتساپ، بدافزاری مانند پگاسوس را تزریق می‌کرد که توسط شرکت اسرائیلی NSO Group به دولت‌ها فروخته می‌شود.

واتساپ بعدها تأیید کرد که حمله‌ی Zero-Click سال ۲۰۱۹ به نفوذ بدافزار به ۱۴۰۰ دستگاه منجر شد و برای همین، شرکت مادر (فیسبوک/متا) فوراً علیه NSO در دادگاه اقامه دعوی کرد گزارش آزمایشگاه سیتیزن‌لب نیز نشان داد که این حفره‌ی امنیتی به پگاسوس اجازه می‌داد دوربین و میکروفون گوشی را مخفیانه فعال کند و به پیام‌ها، ایمیل‌ها و حتی موقعیت مکانی کاربر دسترسی یابد.

تیم امنیتی واتساپ به‌سرعت حفره را پیدا کرد و در عرض چند روز آن را هم روی سرورها، هم در به‌روزرسانی‌های نرم‌افزاری برطرف کرد. به‌همین دلیل، آسیب‌پذیری واتساپ یک مشکل موقت بود، نه ضعفی دائمی در طراحی آن که به‌سرعت مدیریت و حل شد. در واقع، بیان این حقیقت بدون اشاره به زمینه‌ی زمانی آن، تصویری نادرست از وضعیت امنیتی فعلی واتساپ ارائه می‌دهد.

رویکرد آقای جهرمی، تفاوت اساسی بین یک نقص موقت و یک ضعف دائمی در طراحی نرم‌افزار را نادیده می‌گیرد و به‌جای اطلاع‌رسانی دقیق، روی ترساندن مردم تمرکز می‌کند.

ادعای «ضعف نرم‌افزاری داخلی» واتساپ ساده‌سازی بیش از حد گمراه‌کننده‌ای است. امنیت هسته‌ی واتساپ بر پایه‌ی پروتکل سیگنال بنا شده که در صنعت رمزنگاری به‌عنوان استاندارد طلایی شناخته می‌شود. این پروتکل، رمزنگاری سرتاسری (E2EE) را برای تمام پیام‌ها، عکس‌ها، ویدئوها و تماس‌ها به‌صورت پیش‌فرض فعال می‌کند؛ بدین‌مفهوم که محتوای پیام‌ها از زمان ارسال تا زمان دریافت، رمزنگاری‌شده باقی می‌ماند و حتی خود واتساپ نیز نمی‌تواند به آن دسترسی پیدا کند.

پروتکل به‌کاررفته در واتساپ از مکانیزم‌های پیشرفته‌ای مانند الگوریتم Double Ratchet نیز استفاده می‌کند که برای هر پیام یک کلید رمزنگاری جدید تولید می‌کند و تضمین می‌کند که حتی اگر یک کلید در آینده به خطر بیفتد، پیام‌های قبلی همچنان امن باقی خواهند ماند.

با وجود زیرساخت ایمن واتساپ، تهدید واقعی برای کاربران اغلب از طریق حملاتی است که رمزنگاری را دور می‌زنند، نه با شکستن آن؛ حملاتی مانند مهندسی اجتماعی، فیشینگ (ارسال لینک‌های مخرب) و جابه‌جایی سیم‌کارت (SIM Swapping) به‌جای نفوذ به نرم‌افزار، از خطاهای انسانی یا نقاط ضعف در سیستم‌عامل دستگاه بهره‌برداری می‌کنند؛ به‌عنوان مثال، یک هکر می‌تواند با فریب کاربر برای ارسال کد تأیید، حساب واتساپ او را در اختیار بگیرد.

بنابراین، ادعای «ضعف نرم‌افزار داخلی» در واتساپ، تفاوت میان یک آسیب‌پذیری فنی موقت و یک نقص در زیرساخت رمزنگاری را نادیده می‌گیرد. در حقیقت، واتساپ یک بستر امن با یک پروتکل رمزنگاری قوی است؛ اما امنیت واتساپ نمی‌تواند از کاربر در برابر خطای انسانی یا از سیستم‌عامل در برابر حملات بسیار پیچیده‌ی دولتی محافظت کند.

اظهارنظر درباره استفاده‌ی یک «رژیم» از واتساپ برای جاسوسی، در واقعیت ریشه دارد؛ اما ابزار جاسوسی نه خود واتساپ؛ بلکه بدافزار پگاسوس بوده؛ این بدافزار که به‌صورت انحصاری به دولت‌ها فروخته می‌شود، برای هدف قرار دادن فعالان حقوق بشر و روزنامه‌نگاران در سراسر جهان استفاده شده؛ بدافزار پگاسوس از آسیب‌پذیری‌های موقتی مانند حفره‌ی امنیتی سال ۲۰۱۹ واتساپ برای نفوذ به دستگاه‌ها استفاده کرده است.

موضع واتساپ در قبال درخواست‌های دولتی نیز تفاوت‌های کلیدی و فاحشی را نشان می‌دهد. این شرکت یک تیم تخصصی به‌نام Law Enforcement Response Team (LERT) دارد که هر درخواست دولتی را به‌صورت موردی بررسی می‌کند تا از قانونی‌بودن آن اطمینان حاصل کند. به‌دلیل وجود رمزنگاری سرتاسری، واتساپ به‌صراحت اعلام کرده است که «نمی‌تواند محتوای پیام‌های کاربران خود را در پاسخ به درخواست‌های دولتی ارائه دهد»؛ اما در پاسخ به حکم قانونی معتبر، می‌تواند فراداده‌ها (metadata) مانند اطلاعات حساب، تاریخ آخرین بازدید، آدرس IP و سوابق تراکنش را ارائه کند.

این تمایز حیاتی است و نشان می‌دهد که جاسوسی در چنین مواردی از طریق دور زدن و سوءاستفاده از پروتکل‌های امنیتی صورت گرفته است، نه از طریق همکاری واتساپ. واتساپ در سال ۲۰۲۰ حتی از شرکت NSO Group به دلیل سوءاستفاده از پلتفرم خود شکایت کرد و در نهایت نیز برنده‌ی دعوای حقوقی خود با NSO شد.

ادعای وزیر سابق ارتباطات، مبنی بر تمسخر واتساپ توسط پاول دورف، مدیرعامل تلگرام، کاملاً دقیق است؛ دوروف به‌طور علنی واتساپ را «تقلید ارزان» تلگرام خوانده و ادعا کرده که این برنامه، «درهای پشتی» دارد. اظهارات دوروف بخشی از رقابت تجاری آشکار میان تلگرام و واتساپ به‌حساب می‌آید.

در ادامه به تفاوت واتساپ با دو پیام‌رسان بزرگ رقیب هم می‌پردازیم.

بررسی دقیق مدل امنیتی خود تلگرام، تصویری پیچیده‌تر را نشان می‌دهد؛ درحالی که واتساپ رمزنگاری سرتاسری را به‌صورت پیش‌فرض برای تمام چت‌ها و تماس‌ها فعال کرده، تلگرام این قابلیت را تنها به «چت‌های محرمانه» (Secret Chats) محدود می‌کند؛ بنابراین اکثر کاربران تلگرام در چت‌های عادی و گروهی خود، از لایه‌ی حیاتی امنیتی محروم هستند و پیام‌هایشان روی سرورهای تلگرام، رمزنگاری‌نشده ذخیره می‌شوند.

سیگنال به‌دلیل مدل غیرانتفاعی، جمع‌آوری حداقل داده‌ها و متن‌باز بودن کامل، اغلب به‌عنوان امن‌ترین پیام‌رسان برای حریم خصوصی در نظر گرفته می‌شود. این برنامه برخلاف واتساپ، فراداده‌ها را محافظت می‌کند و از طریق قابلیتی به‌نام Sealed Sender، اطلاعاتی مانند زمان و گیرنده‌ی پیام را مخفی نگه می‌دارد. همچنین، سیگنال امکانات بیشتری برای سفارشی‌سازی تنظیمات حریم خصوصی، مانند قابلیت Call Relay برای مخفی‌کردن آدرس IP کاربران در طول تماس، ارائه می‌دهد که واتساپ فاقد آن است.

واتساپ با وجود استفاده از پروتکل رمزنگاری قوی، به‌دلیل جمع‌آوری فراداده و وابستگی به شرکت، نگرانی‌هایی را ایجاد می‌کند. در مقابل، تلگرام با وجود انتقادهای شدید به رقبای خود، به دلیل عدم فعال‌سازی پیش‌فرض رمزنگاری سرتاسری و خصوصی‌بودن کد سرور، در رتبه‌ی پایین‌تری از نظر امنیت قرار می‌گیرد. در نهایت، انتخاب پیام‌رسان به مدل تهدیدات و سطح حساسیت اطلاعاتی هر فرد بستگی دارد.

تحلیل جامع اظهارات وزیر سابق ارتباطات نشان می‌دهد که ادعاهای او درحالی که ریشه در رخدادهای واقعی دارند، تصویر ناقصی از امنیت واتساپ ارائه می‌دهند. این روایت، تفاوت حیاتی میان یک آسیب‌پذیری موقت در نرم‌افزار و یک ضعف بنیادین در زیرساخت رمزنگاری را نادیده می‌گیرد و به‌جای آن، از حقایق گزینشی برای خلق یک روایت مشخص استفاده می‌کند.

واتساپ بستری امن با پروتکل رمزنگاری قوی است؛ اما این امنیت نمی‌تواند از کاربر در برابر خطای انسانی یا از سیستم‌عامل در برابر حملات بسیار پیچیده‌ی دولتی محافظت کند. برای کاربران عادی، به‌روزرسانی منظم برنامه، فعال‌کردن تدابیر امنیتی مانند تأیید هویت دو مرحله‌ای و هوشیاری در برابر کلاهبرداری‌ها و لینک‌های مشکوک، مهم‌ترین اقدامات امنیتی هستند. در سوی دیگر، هیچ تردیدی وجود ندارد که سازمان‌ها نباید از نرم‌افزار چت عمومی برای انتقال اطلاعات مهم استفاده کنند.

در نهایت، در فضای مجازی امروز، مسئولیت اصلی امنیت دیجیتال بر دوش خود کاربران است.