حدود چند هفته قبل، کمپانی فیسبوک توانست با ربودن گوی سبقت از رقبای بزرگی نظیر گوگل و با ارائهی پیشنهاد اغواکنندهای معادل ۱۹ میلیارد دلار، برنامه پیامرسان محبوب واتساپ را به مالکیت خود درآورد. انتقالی که حدوداً ۱۹ برابر مبلغ دیگر خرید فیسبوک، یعنی اینستگرام، برای این کمپانی هزینه دربرداشت.
جالب است بدانید که تیم واتساپ تنها از ۳۲ مهندس تشکیل شده است که به مدیریت روزانه ۵۰ میلیارد پیغام از سوی چیزی در حدود ۳۸۵ میلیون کاربر فعال مشغول هستند. به نظر این تیم کوچک بار سنگینی از مسئولیت را به دوش میکشند و نمیتوان خوشبین بود که بتوانند بطور کامل و شایسته از پس این مسئولیت سنگین برآیند.
از طرف دیگر بهتازگی انتقادهایی نسبت به امنیت پلتفرم واتساپ که میلیاردها پیغام بر روی آن تحویل داده میشوند، بوجود آمده است. محققان لابراتوار امنیتی Praetorian، وجود چندین مشکل امنیتی مرتبط با SSL را در واتساپ با بکارگیری «پروژه نپتون» تأیید نمودهاند. لازم به ذکر است پروژه نپتون، پلتفرمیبرای تست امنیت برنامههای موبایلی میباشد.
این در حالی است که کمپانی واتساپ در وبلاگ رسمی خود بیان کرده: ارتباطات بین گوشی شما و سرورهای ما به طور کامل رمزنگاری میشوند. ما تاریخچه گفتگوهای شما را در سرورهای خود ذخیره نمیکنیم. به محض اینکه پیغام شما با موفقیت تحویل مخاطب موردنظرتان شود، آن پیغام از سیستم ما حذف خواهد شد.
اما محققان، آسیبپذیری را در این برنامه یافتهاند که آن را مستعد حملاتی از نوع «مردی در میانه» یا Man-in-the-Middle Attack مینماید؛ چرا که واتساپ از قابلیت SSL Pinning پشتیبانی نمیکند و این موضوع امکان دزدیدهشدن اعتبارها را به سادگی فراهم میکند.
بگذارید برای درک بهتر این موضوع کمی مختصر به بررسی مفاهیمی نظیر SSL، Man-in-the-Middle Attack و SSL Pinning بپردازیم. SSL یا Secure Sockets Layer به دو طریق از شما محافظت میکند. این لایه محافظتی با رمزنگاری اطلاعات شما، از دزدیدهشدن اطلاعات حیاتی شما نظیر نامهای کاربری، کلمههای عبور، شماره و کلمهعبور کارتهای اعتباری و… جلوگیری میکند. همچنین SSL میتواند اعتبار و هویت یک سایت را تأیید نماید.
Man-in-the-Middle Attack نیز به حملاتی گفته میشود که در آن اعتبار SSL یک سایت دزدیده و یا جعل میشود تا کاربران آن سایت به اشتباه به یک سایت جعلی اطمینان کنند. اما چگونه چنین چیزی رخ میدهد؟! شما به هنگام مرور یک وبسایت با تأییدیه SSL جعلی و نامعتبر از طریق یکی از مرورگرهای محبوب نظیر کروم، اخطاری مبنی بر اعلام این موضوع دریافت میکنید.
اما مشکل وقتی پیش میآید که ترافیک فیمابین شما و سایت مورد نظر از طریق برنامههای موبایلی و غیرمرورگرها منتقل میشود و شما دیگر موفق به دریافت تأییدیه برای صحت SSL سایت موردنظر نخواهید شد. بنابراین در صورت مواجهه با سایتی که از یک SSL جعلی و غیرمعتبر استفاده میکند، هیچ اخطار خاصی شما را از ورود به آن سایت بازنخواهد داشت.
و اما SSL Pinning؛ این ویژگی که در اغلب اپلیکیشنهای محبوب نظیر گوگل، توئیتر و فیسبوک به کار گرفته شده است، بصورت خودکار از پذیرفتن اتصال به وبسایتهایی که SSL نامعتبر ارائه میدهند ممانعت میکند؛ به عبارتی این قابلیت به کاربر کمک میکند تا فقط و فقط به تبادل اطلاعات با سایتی بپردازد که گواهینامه معتبر مربوطه را دارا است.
کارشناسان امنیتی معتقدند: در حالی که ویژگی SSL Pinning امکان برقراری یک اتصال ایمن بین اپلیکیشن موبایلی و وبسرویس را ارائه مینماید، واتساپ از این قابلیت بیبهره است. بدون اجبار در بکارگیری SSLPinning، یک حملهکننده میتواند با استفاده از تکنیک man-in-the-middle ارتباط بین اپلیکیشن موبایلی و وبسرویس واتساپ را به راحتی مورد نفوذ قرار داده و به سوءاستفاده از اطلاعات شخصی و حساس کاربران بپردازد.
واتساپ به سرورهای میزبانی اطلاعات خود این اجازه را میدهد تا با استفاده از معماریهای رمزنگاری ضعیفی مثل ۴۰ بیت و ۵۶ بیت به رمزنگاری اطلاعات کاربران بپردازند. این معماریهای سطح پایین را میتوان به راحتی و با بکارگیری شیوههایی نظیر حملات Brute Force رمزگشایی نمود؛ شیوهای که به گفته محققان، مورد علاقه سازمانهای جاسوسی نظیر NSA میباشد.
به هر حال تیم واتساپ اعلام نمودهاند که در حال تلاش برای اضافه نمودن ویژگی SSL Pinning به برنامه خود هستند؛ هر چند در حال حاضر این نقیصه نمیتواند نوید حفاظت از حریم خصوصی کاربر را بدهد.
اما پس از این مقدمهها دوباره باز میگردیم به مبحث داغ خرید واتساپ توسط فیسبوک. این دو کمپانی پس از اعلام رسمی خبر معامله، تأکید نمودهاند که پس از این انتقال مالکیت، هیچگونه تغییری در روند کاری واتساپ رخ نداده و این برنامه کماکان بصورت مستقل به سرویسدهی ادامه خواهد داد. اما آیا این کافی است؟! از دید ما خیر! مسأله اساسی اینجاست که شاید شما به کمپانیهای بزرگی نظیر فیسبوک، گوگل، واتساپ و… اعتماد داشته باشید؛ ولی واقعیت این است که نه تنها کاربران ایرانی، بلکه تمام کاربران دنیا نمیتوانند به دولت آمریکا و سرویسهای جاسوسی معروفش نظیر NSA اعتماد کنند! چیزی که واضح و مسلم است، آنها احترامیبرای حریم خصوصی و آزادی بیان ما قائل نیستند و بارها و بارها خبرهایی مربوط به رسواییهای جدیدشان در این زمینه منتشر شده است.
برنامههای پیغامرسان موبایلی اغلب برای انتقال پیامهای شخصی و حساس یا مکالمات کاری و حرفهای مورد استفاده قرار میگیرند و با توجه به اینکه این اطلاعات در سرورهای سرویسدهندههای اینترنت (آیاسپیها) نیز ثبت میشوند، میبایست بصورت End-to-End رمزنگاری شوند (یعنی از مبدأ تا مقصد). چیزی که در حال حاضر در واتساپ وجود ندارد.
پس به عنوان یک نتیجهگیری تا اینجای بحث ما با دو مشکل مواجه هستیم. امکان سوء استفاده از اطلاعات شخصی کاربران در برنامههای کمپانیهای آمریکایی توسط دولت ایالات متحده (از جمله واتساپ) و از طرف دیگر ایرادات امنیتی وارد به واتساپ خصوصاً عدم رمزنگاری دو سویه اطلاعات و بیبهره ماندن از قابلیت مهم SSL Pinning. مجموع این دو عامل یعنی دلایلی کافی برای مهاجرت از واتساپ به یک پلتفرم و برنامه جایگزین که در عین برخورداری از ویژگیهای پایه، این نگرانیها را نیز مرتفع سازد.