افشاگری مدیر تلگرام از ناامنی همیشگی واتساپ
پاول دوروف، بنیان گذار پیام رسان تلگرام، در واکنش به رسوایی جاسوس افزار واتس اپ، در مطلبی به نقاط ضعف این پلتفرم و سیاست های فیس بوک نقد کرده و برای تک تک جملاتش در این نوشته، مرجع ذکر کرده است. این مطلب را می خوانید:
دنیا از شنیدن این خبر که واتساپ، هر تصویری را تبدیل به جاسوس افزار میکند، حیرت زده شده است. هر چیزی روی گوشی شما، شامل تصاویر، ایمیلها و متنها، فقط به این دلیل که واتساپ را نصب کردهاید، در دسترس مهاجمان قرار داشته است.
این اخبار البته من را متعجب نکرد. پارسال واتساپ وادار به تایید مسالهای مشابه شد؛ یک تماس تصویری از طریق واتساپ برای هکرها کافی بود که به تمامی دادههای روی گوشی شما دسترسی بیابند.
هر بار که واتساپ یک آسیبپذیری بحرانی را در اپاش اصلاح میکند، یک مشکل جدید به جای آن پدیدار میشود. همه مشکلات امنیتی آنها برای کنترل کاربر مناسب است و همه مانند Backdoor عمل میکنند.
بر خلاف تلگرام، واتساپ منبعباز نیست؛ بنابراین محققان امنیت به آسانی قادر به بررسی اینکه در کد آن، Backdoor وجود دارد، نخواهند بود. آنها دقیقا برعکس عمل میکنند؛ واتساپ عامدانه دسترسی به کدهایش را نمیدهد تا هیچ کس قادر به بررسی آنها نباشد.
واتساپ و شرکت مادرش، فیسبوک، شاید حتی از سوی روالهای امنیتی مانند دستور سکوت (gag order) افبیآی وادار به نصب در پشتی (Backdoor) شده باشند.در آمریکا، برقراری یک ارتباط امن ساده نیست. در سال 2016 تیمی از تلگرام یک هفته در آمریکا مستقر بود و در این مدت 3 تلاش برای نفود به تلگرام از سوی افبیآی انجام شد. حال تصور کنید 10 سال کار کردن در چنین فضایی چه تبعاتی برای شرکتهای مستقر در آمریکا خواهد داشت.
البته توجیهات نهادهای امنیتی را برای نصب در پشتی برای مقابله با تهدیدهای تروریستی درک میکنم؛ اما مشکل چنین Backdoorهایی این است که مجرمان سایبری و دولتهای تمامیتخواه نیز میتوانند از آنها استفاده کنند. عجیب نیست که دیکتاتورها واتساپ را دوست دارند؛ ضعف امنیتی واتساپ به آنان امکان میدهد که از شهروندانشان جاسوسی کنند. به همین دلیل هم واتساپ همچنان در کشورهایی مثل روسیه و ... آزاد و در دسترس است؛ در حالی که تلگرام به دستور مقامات ممنوع شده است.
در واقع من در واکنش به فشارهای مقامات روس کار روی تلگرام را آغاز کردم. آن زمان در سال 2012، واتساپ فقط پیامها را به صورت متن ساده تبادل میکرد که دیوانگی بود. نه تنها دولتها و هکرها، بلکه حتی اپراتورهای موبایل و ادمینهای وایفای نیز به تمامی متنهای تبادل شده روی واتساپ دسترسی داشتند.
واتساپ، بعدها گونهای از رمزگذاری را به سرویساش افزود که به سرعت مشخص شد صرفا یک ترفند تبلیغاتی بوده است. چون کلید رمزگشایی پیامها در دسترس بعضی از دولتها از جمله دولت روسیه بود. بعد، با محبوب شدن تلگرام، بنیانگذاران واتساپ، این پیام رسان را به فیسبوک فروختند و اعلام کردند که «حریم خصوصی در دیانای آنهاست». اگر چنین ادعایی صحت داشته باشد هم احتمالا ژن آنها ساکت (dormant) یا ژن باخته (recessive) است.
3 سال پیش واتساپ اعلام کرد که رمزگذاری سرتاسری (endto end encryption) را به کار گرفته است و دیگر هیچ شخص ثالثی به پیامها دسترسی ندارد. این اعلامیه همراه شد با درخواستهای متعدد و تشویق کاربران واتساپ که چتهایشان را در ابر پشتیبانگیری کنند. اما واتساپ به کاربرانش نمیگفت که وقتی از چتها پشتیبان بگیرند، این پشتیبانها دیگر با رمزگذاری سرتاسری محافظت نمیشود و میتواند در دسترس هکرها و مقامات حکومتی قرار بگیرد. چه بازاریابی درخشانی! و برخی از مردم سادهدل هم در نتیجه این اقدام، هم اکنون دوران محکومیت خود را در زندان میگذرانند.
آنهایی هم که مقاومتر بودهاند و به درخواستهای بکآپگیری تن ندادند نیز همچنان با ترفندهایی قابل ردیابی هستند؛ ترفندهایی از جمله دسترسی به پشتیبان فهرست مخاطبان تا تغییرات نامحسوس کلید رمز. فرادادههایی که به دست کاربران واتساپ تولید میشود لاگهایی که نشان میدهد که چه کسی با چه کسی و در چه زمانی چت کرده است از سوی شرکت مادر واتساپ به انواع نهادهای امنیتی و غیر امنیتی درز داده شده است. اما مهمتر از همه اینها، ملغمهای از آسیبپذیریهای بحرانی، یکی پس از دیگری در این پیامرسان پدیدار میشود.
واتساپ دارای تاریخچه مشخصی است – از شروع فعالیت بدون هیچگونه رمزگذاری تا مشکلات امنیتی پیدرپی مناسب برای اهداف نظارتی و جاسوسی. به عقب که نگاه کنیم، حتی یک روز در تاریخ 10 ساله واتساپ نبوده که این سرویس امن بوده باشد. به همین دلیل است که گمان نمیکنم با روزآمدسازی اپ موبایل واتساپ، بتوان آن را برای همگان امن کرد. واتساپ اگر میخواهد به یک سرویس مبتنی بر حریم خصوصی تبدیل شود، باید ریسک از دست دادن تمامی بازار و کشمکش با مقامات کشور محل استقرارش را بپذیرد و به نظر نمیرسد که آنها برای چنین ریسکی آماده باشند.
سال گذشته، بنیانگذاران واتساپ به دلیل نگرانی درباره حریم خصوصی کاربران این شرکت را ترک کردند. آنان واقعا گرفتار دستورسکوت و پیماننامههای عدم افشای اطلاعات (NDA) هستند؛ بنابراین، بدون به مخاطره انداختن آینده و آزادیشان، قادر به صحبت آزاد درباره Backdoorها در ملا عام نیستند. البته این بنیانگذاران میتوانستند اعتراف کنند که حریم خصوصی کاربرانشان را فروختهاند.
بیمیلی بنیانگذاران واتساپ در ارایه اطلاعات بیشتر، برای من قابل درک است. به خطر انداختن آسایش فردی آسان نیست. چندین سال قبل من به دلیل تبعیت نکردن از دستور دولت برای ارایه اطلاعات شبکه اجتماعی VK مجبور شدم کشورم را ترک کنم. برای من خوشایند نبود؛ اما آیا دوباره هم همین کار را خواهم کرد؟ با کمال میل. هر کدام از ما بالاخره یک روزی میمیریم؛ ولی نسل بشر حالاحالاها در زمین مقیم است. به همین دلیل است که اعتقاد دارم مالاندوزی، شهرت یا قدرت مهم نیست و خدمت به بشریت تنها چیزی است که در طولانی مدت ارزش و اهمیت دارد.
و همچنان، بر خلاف نیتهایمان، احساس میکنم که در ماجرای جاسوس افزار واساپ ما بشریت را مایوس کردهایم. بسیاری از مردم نمیتوانند دست از واتساپ بکشند چون دوستان و فامیلشان همچنان در آنجا هستند. این بدان معنی است که ما در تلگرام، در ترغیت افراد به تغییر پیامرسانشان خوب عمل نکردهایم. اگر چه در 5 سال گذشته صدها میلیون کاربر را جذب کردهایم، این مقدار هنوز کافی نیست. عمده کاربران اینترنت همچنان در دست امپراتوری فیسبوک/واتساپ/ اینستاگرام گروگان هستند. بسیاری از کاربران تلگرام، همچنان از واتساپ استفاده میکنند؛ یعنی که گوشیشان همچنان آسیبپذیر است. حتی آنها که کاملا از واتساپ دل کندهاند، احتمال دارد که همچنان از اینستاگرام و فیسبوک استفاده کنند که هر دو این اپلیکیشنها همچنان گمان میکنند ذخیره گذرواژهها به صورت متنی ساده، ایرادی ندارد. (من هنوز باورم نمیشود که یک شرکت فناوری چنین عملکردی داشته باشد و گیر نیفتد.)
تلگرام، که هم اکنون حدود 6 سال از عمرش میگذرد، تا کنون شاهد نشت عمده اطلاعات یا ضعفهای امنیتی مشابه آنچه واتساپ هر چندماه یکبار درگیرش میشود، نبوده است. در این 6 سال ما حتی یک بایت از دادههایمان را برای شرکتها یا اشخاص ثالث افشا نکردهایم؛ در حالی که فیسبوک/ واتساپ در همین مدت تقریبا همه چیز را با هر نهادی که مدعی بوده با دولتها کار میکند، به اشتراک گذاشته است.
افراد اندکی خارج از جامعه علاقهمندان تلگرام میدانند که بسیاری از امکانات جدید پیامرسانها، ابتدا از سوی تلگرام عرضه میشود و بعد واتساپ آنها را به شکلی ناشیانه کپی میکند. اخیرا هم ما شاهد تلاش فیسبوک برای کپی کل فلسفه تلگرام بودهایم؛ جایی که زاکربرگ ناگهان به اهمیت خریم خصوصی و سرعت صحه گذاشت و در سخنرانیاش در کنفرانس F8 بر واژه واژه توضیحات تلگرام تاکید کرد.
اما نالیدن از دورویی افبیآی و نبود خلاقیت دردی را دوا نمیکند. باید اعترام کنیم که فیسبوک راهبردی کارآمد دارد. ببینید آنها چه بلایی سر اسنپچت آوردند.
ما در تلگرام باید مسوولیتمان در ساخت آینده را بپذیریم. آینده شاهد انحصار ما یا فیسبوک خواهد بود؛ یعنی یا آزادی و حریم خصوصی و یا نفاق و طمعکاری. تیم ما در 13 سال گذشته با فیسبوک در حال رقابت بوده است. ما تاکنون یک بار آنها را در بازار شبکههای اجتماعی شرق اروپا شکست دادهایم و بار دیگر آنها را در بازار جهانی پیامرسانها شکست خواهیم داد. باید این کار را بکنیم.
این البته آسان نیست. دپارتمان بازاریابی فیسبوک خیلی عظیم است. ما هم در تلگرام تقریبا هیچ بازاریابی خاصی نمیکنیم. ما نمیخواهیم به روزنامهنگاران و محققان پول بدهیم که درباره تلگرام مطلب بنویسند و در این راه، فقط به میلیون کاربرمان متکی هستیم. اگر شما تلگرام را دوست داشته باشید، به دوستانتان پیشنهادش میکنید و اگر هر کاربر تلگرام 3 نفر از دوستانش را به حذف واتساپ و نقل مکان دائمی به تلگرام ترغیب کند، تلگرام به سرعت به محبوبیتی بیش از واتساپ دست خواهد یافت.
دوران طمعکاری و نفاق به پایان خواهد رسید و عصر آزادی و حریم خصوصی آغاز خواهد شد. آن روز از آنچه به نظر میرسد نزدیکتر است.(منبع:فناوران)