نوید گل‌ پور

محقق بلاکچین و اینترنت غیرمتمرکز

چرا هیچوقت واتزاپ امن نمیشه

1398-04-29نوید گل پورحریم خصوصی

نوشته شده توسط پاول دوورف (بنیانگذار تلگرام)

واتزاپ

به نظر می‌رسه این خبر که «واتزاپ» هر دستگاه موبایل رو به یک ابزار جاسوسی تبدیل می‌کنه،‌ جهان رو شوکه کرده. هرچیزی توی موبایل شماست– مثل عکس‌ها،‌ ایمیل‌ها و اس ام اس ها- در دسترس هکرهاست، اون هم تنها به این دلیل ساده که شما whatsapp نصب کردین 1.

البته که این خبر من رو سورپرایز نکرد. همین پارسال بود که WhatsApp درگیر مشکل مشابهی بود. مشکلی که باعث می‌شد،‌ هکر بتونه با یک تماس ویدئویی ساده به همه اطلاعات گوشی شما دسترسی پیدا کنه 2

(اصطلاح backdoor که به معنای درپشتیه، اشاره به حفره های امنیتی ای هست که کمپانی سازنده عامدانه توی محصولش می‌زاره تا بتونه به اطلاعات کاربر به صورت مخفیانه دسترسی پیدا کنه. دولت آمریکا خیلی از کمپانی های آمریکایی رو مجبور می‌کنه این حفره ها رو توی محصولات خودشون بزارن تا دولت بتونه اطلاعات کاربران رو شنود بکنه. بخش زیادی از افشاسازی های ادوارد اسنودن مربوط به همین موضوعات بود. بد نیست بدونین که نرم افزارهای زیادی توی دنیا هستن که «متن باز» هستن. به این معنی که تمام کدهاشون رو در اختیار همه قرار می‌دن. به همین دلیل محققان امنیتی می‌تونن اون‌ها رو بررسی کنن و مطمئن باشن که توش حفره های امنیتی – از جمله backdoor- وجود نداره.توضیحات از نوید!)

بر خلاف تلگرام،‌ واتزاپ متن باز نیست. پس برای محققان امنیتی راهی وجود نداره تا کدهاش رو بررسی کنن تا بفهمن که واتزاپ،‌ توی اون کدها «backdoor» گذاشته یا نه. واتزاپ،‌ نه تنها کدهای خودش رو به صورت آزاد منتشر نمی‌کنه، بلکه درست بر خلاف این رفتار می‌کنه: اون عمداً کدهاش رو به صفر و یک های باینری تبدیل می‌کنه تا برای کسی امکان نداشته باشه بتونه،‌ اون‌ها رو مطالعه کنه.

واتزاپ و کمپانی مادرش که همون فیس‌بوک باشه،‌ حتی ممکنه قانوناً مجبور باشن توی نرم افزارشون backdoor بزارن -و احتمالاً قانوناً هم اجازه ندارن چیزی در این باره فاش کنن 3

  • اینکه بخوای یک مسنجرامن رو توی آمریکا مدیریت کنی،اصلاً ساده نیست. تیمما در سال ۲۰۱۶ تنها یک هفته توی آمریکا بودو
    4 5 FBI سه بار از ما خواست که براش توی تلگرام backdoor تعبیه کنیم. حالا تصور کنین چی می‌شه اگه شما ۱۰ سال توی محیط آمریکا مشغول اداره شرکتتونباشین!

آژانس های امنیتی سعی می‌کنن backdoor ها رو با فعالیت‌های ضدتروریستی توجیه کنن. اما مشکل اینجاست که همین backdoor ها می‌تونن توسط مجرمین و دولت های سرکوبگر استفاده بشن. بی‌جهت نیست که دیکتاتور‌ها عاشق واتزاپ هستن: یک نرم‌افزار ناامن،‌ به راحتی بهشون اجازه می‌ده تو گوشی مردم سرک بکشن و ازشون جاسوسی کنن. به همین دلیله که واتزاپ در کشورهایی مثل روسیه و ایران آزادانه استفاده می‌شه درحالیکه تلگرام در اون کشورها فیلتر شده! 6

در‌واقع کار کردن من روی تلگرام،‌ پاسخ مستقیم من به فشار مسئولین کشور روسیه بود. اگه به عقب برگردیم میبینیم که در سال ۲۰۱۲ واتزاپ پیام‌ها رو با متن ساده – بدون هیچ رمزگذاری- منتقل می‌کرد. این کار دیوانگی بود. با چنین ساختاری نه فقط دولت‌ها و هکر ها،‌ حتی سرویس دهندگان موبایل و ادمین های WiFi هم میتونستن محتوای پیام‌های دیگران رو ببینن 7 8 .

بعدها واتزاپ شروع به رمزنگاری پیام‌ها کرد. اما خیلی زود معلوم شد که این رمزنگاری چندان ایمن نیست و چندین حکومت – از جمله روسیه 9 – تونستن کلیدش رو پیدا کنن. پس از اون واتزاپ کم کم محبوب ش. فیس‌بوک اون رو خرید و اعلام کرد که «امنیت همیشه در DNA واتزاپ بوده! 10 ». تنها راهی که می‌تونم فکر کنم این ادعا درست باشه اینه‌ که شاید واتزاپ یک ژن خاموش داشته!

سه سال پیش بود که واتزاپ اعلام کرد اونها یک سیستم رمزنگاری end-to-end رو پیاده‌سازی کردن که «دیگه هیچ نفر سومی نمیتونه به پیام‌ها دسترسی داشته باشه». این موضوع با یک فشار به کاربران همراه شد که از چت هاشون رو روی سرورهای ابری واتزاپ بک آپ بگیرن. البته که واتزاپ به کاربرانش نگفت که اگه این چت ها روی سرورهای واتزاپ بک آپ گرفته بشه،‌ دیگه رمزگذاری end-to-end فایده‌ای نداره و هکرها و البته آژانس های قانونی می‌تونن به راحتی به اون‌ها دسترسی داشته باشن 11 . این یک استراتژی مارکتینگ فوق‌العاده برای واتزاپ بود ولی متاسفانه برای افرادی که فریبش رو خوردن نتیجه‌ای جز گذروندن عمرشون پشت میله های زندان نداشت! 12

حتی کاربرانی که به درخواست های مکرر واتزآپ برای اینکه بک آپ اطلاعاتشون رو روی سرور های اون قرار بدن جواب مثبتنمی‌دن هم از روش‌های متنوعی در معرض شنودن: از دسترسی به بک آپ کانتکت ها گرفته تا تغییر مخفیانه کلید رمزنگاری 13 تا متادیتایی که توسط اونها ساخته می‌شد تا لاگ هایی که نشون می‌دنچه زمانی، کی با کی چت کرده. داده‌هایی که در ابعاد وسیع برای انواع آژانس هایی که با فیس‌بوک همکاری می‌کننافشا میشه.

واتزاپ تاریخچه ثابتی داره که از چت های بدون رمزنگاری شروع شده و در نهایت به مشکلات امنیتی فراوونی رسیده که به طرز عجیبی همشون برای شنود اطلاعات کاربران مناسب هستن! اگه به عقب برگردیم می‌بینیم که در طی ۱۰ سال اخیر حتی یک روز هم نبوده که این محصول بدون مشکل امنیتی بوده باشه. این دلیلیه که من فکر میکنم آپدیت کردن واتزاپ برای هیچکسی امنیت به ارمغان نمیاره 14.

اگه واتزاپ بخواد به یک سرویس حافظ حریم خصوصی تبدیل بشه،‌ باید ریسک از دست دادن تمام بازارش و سرشاخ شدن با حکومت آمریکا رو به جون بخره و البته که به نظر نمی‌آد اون‌ها آماده چنین موضع گیری پرخطری باشن 15 .

سال گذشته بود که بنیانگذار واتزاپ به خاطر نگرانی هایی که درباره حریم خصوصی کاربران، به وجود اومده بود اونجا رو ترک کرد 16 . مطمئنا اون‌ها از نظر قانونی اجازه ندارن فاش کنن که مجبورن چه backdoor هایی رو بر علیه کاربرانشون کار بزارن. چنین ریسکی می‌تونه به قیمت آینده و آزادیشون تموم بشه. چیزی که مطمئنیم تأیید خودشونه مبنی بر اینکه «حریم خصوصی کاربرانشون فروخته شده 17 ».

من بی خوابی های بنیانگذار واتزاپبرای اینکه بتونه جزییات بیشتری بگه رو میفهمم. اینکه آرامش خودت رو به خطر بندازی اصلاً ساده نیست. چندین سال پیش شرایط مشابهی رو به خاطر شبکه اجتماعی VK که در روسیه ساخته بودم داشتم. شرایطی که در نهایت مجبورم کرد ترک وطن رو انتخاب کنم. این کار رو کردم چون نمیخواستم در نقض حریم خصوصی کاربرانم با حکومت روسیه همکاری کنم 18 . این موضوع بسیار تلخ بود،‌ اما آیا حاضرم دوباره چنین انتخابی بکنم؟ با کمال افتخار!

همه ما روزی می‌میریم، بااین‌حال باید مدتی رو به عنوان یک گونه درکنارهمزندگی کنیم. این دلیلیه که من فکر میکنم پول،‌ شهرت یا قدرت بی ارزشن و تنها چیزی که در بلند مدت ارزشمنده خدمت به بشریته.

در نهایت، با وجود این مسائل من فکر می‌کنم ما با استفاده از نرم‌افزار جاسوسی واتزاپ انسانیت رو پایین می‌کشیم. بسیاری از مردم استفاده از اون رو متوقف نمی‌کنن،‌ چون دوستان و خانوادشون اونجا هستن. این نشون می‌ده ما در تلگرام نتونستیم مردم رو ترغیب کنیم که مسنجرشون رو عوض کنن و به تلگرام بپیوندن. هرچند ما در پنج سال اخیر تلگرام رو به صدها میلیون کاربر رسوندیم،اما این اصلاً کافی نیست.

اکثریت کاربران اینترنت هنوز بوسیله امپراطوری «واتزاپ،‌ فیس‌بوک، اینستاگرام» گروگان گرفته شدند. خیلی از اونها کسانی هستن که همزمان از تلگرام و واتزاپ استفاده می‌کنن و این یعنی گوشی های تلفن اونها در معرض شنوده. حتی اگه اون‌ها استفاده از واتزاپ رو کنار بزارن احتمالاً از فیس‌بوک یا اینستاگرام استفاده می‌کنن. هردو این اپ ها فکر می‌کنن ذخیره کردن پسورد کاربران بدون رمزنگاری هیچ اشکالی نداره! 19 20 (من هنوز باور نمی‌کنم یک کمپانی تکنولوژی بتونه چنین سهل انگاری عظیمی روانجام بده و اصلابراش مهم نباشه!)

در این ۶ سالی که تلگرام مشغول به فعالیته، هیچ مشکل امنیتی بزرگی نداشته - برخلاف مشکلاتی که واتزاپ هرچندماه باهاش درگیر میشه. در این ۶ سال حتی یک بایت اطلاعات تلگرام به دست احدی نیفتاده،‌ در حالیکه فیس بوک و واتز اپ تقریباً همه چیز رو در اختیار هر کسی که ادعا کنه برای حکومت کار می‌کنه قرار میدن 13 .

به غیر از هواداران تلگرام، افراد کمی هستن که می‌دونن قابلیت‌های جدید مسنجرها اول توی تلگرام ظاهر میشه و بعدا عیناً توی واتزاپ کپی می‌شه. حتی اخیراً وقتی زاکربرگ در کنفرانس سالانه F8 به اهمیت حریم خصوصی و سرعت اشاره کرد، شاهد تلاش فیس‌بوک برای تقلید از کل فلسفه تلگرام بودیم، خصوصا جایی که بخش توضیحات (description) اپ تلگرام رو کلمه به کلمه نقل قول کرد! اما غرغر کردن درباره دورویی و فقدان خلاقیت فیس بوک مشکلی رو حل نمی‌کنه. ما باید تصدیق کنیم که فیس‌بوک یک استراتژی مؤثر رو دنبال می‌کنه. بینین اونها با اسنپ‌چت چیکار کردن 21 .

ما در تلگرام موظفیم مسئولیتمون رو در شکل دادن آینده به انجام برسونیم.«ما» در مقابل «انحصارگرایی فیس‌بوک». این نبردی بین «آزادی و حریم خصوصی» و «طمع و دوروییه». تیم ما ۱۳ ساله که با فیس‌بوک رقابت می‌کنه. ما یک بار اونها رو در مارکت شبکه اجتماعی اروپایی شرقی شکست دادیم 22 و بار دیگه در مارکت جهانی مسنجر ها این کار رو تکرار می‌کنیم. راهی جز این نداریم.

البته که این کار اصلاً ساده نیست. دپارتمان مارکتینگ فیسبوک واقعاً بزرگه. ما در تلگرام بودجه‌ای برای مارکتینگ نداریم. ما نمی‌خوایم به مجلات و محققین پول بدیم تا درباره تلگرام مطلب بنویسن. ما به شما متکی هستیم – به میلیون‌ها کاربری که داریم. اگه شما به‌ اندازه کافی به تلگرام علاقه‌مند باشین،‌ به دوستاتون درباره اون خواهید گفت. اگه هر کاربر تلگرام بتونه۳ نفر از دوستاش رو تشویق کنه واتزاپ رو پاک کنن و به تلگرام بپیوندن، ما از واتزاپ محبوب‌تر خواهیم شد.

دوران طمع و دورویی به پایان می‌رسه و عصر آزادی و حریم خصوصی شروع خواهد شد. این از اون چیزی که به نظر می‌رسه نزدیک‌تر خواهد بود.

توضیحات نوید: دنیایی که فیس‌بوک و زیرمجموعه هاش می‌خوان بسازن، نقطه مقابل دنیای آزادیه که دوس دارم در ساختنش سهیم باشم. فیس بوک رو که سالهاست کنار گذاشتیم،‌ اینستا رو به خاطر تحقیقات روانشناسی ای که دیدم کنار گذاشتم و حالا با حذف واتزاپ خودم رو کاملا از سیطره این امپراطوری بیرون می‌کشم. من این پرهیز رو برای رویاها و آرمان هام انتخاب می‌کنم، اما اصراری ندارم شما هم این کار رو بکنین. این بستگی به دنیایی داره که دوس دارین توش زندگی کنین و هزینه ای که حاضرین بابتش بدین. هر تصمیمی که می‌گیرین خوشحالم که این مقاله رو تا اینجا خوندین و سطح آگاهیتون رو گسترش دادین. مسرور باشین

References

1 Business Insider WhatsApp was hacked and attackers installed spyware on people’s phones – May 15, 2019

2 Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts – October 12, 2018

3 Wikipedia Gag order – United States

4 Neowin FBI asked Durov and developer for Telegram backdoor – September 19, 0271

5 The Baffler The Crypto-Keepers – September 17, 2017

6 New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – May 2, 2018

7 YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – May 19, 2011

8 The H Security Sniffer tool displays other people’s WhatsApp messages – May 13, 2012

9 FilePerms WhatsApp is broken, really broken – September 12, 2012

10 International Business Times Respect for Privacy Is Coded Into WhatsApp’s DNA: Founder Jan Koum – March 18, 2014 11 Independent WhatsApp Update Brings Backups That Are Not Encrypted and So Could Allow People to Read Messages – August 28, 2018

12 Slate How Did the FBI Access Paul Manafort’s Encrypted Messages? – June 5, 2018

13 AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – January 13, 2017

14 Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops– January 22, 2017

15 New York Times Facebook Said to Create Censorship Tool to Get Back Into China – November 22, 2016

16 The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – April 30, 2018

17 CNET WhatsApp co-founder: ‘I sold my users’ privacy’ with Facebook acquisition– September 25, 2018

18 New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – December 2, 2014

19 TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – March 21, 2019

20 Engadget Facebook stored millions of Instagram passwords in plain text – 18 April, 2019

21 Vanity Fair Snapchat is doing so badly, the feds are getting involved – November 14, 2018

22 HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – October 26, 2012