حدود سه ماه قبل، کمپانی فیس‌بوک توانست با ربودن گوی سبقت از رقبای بزرگی نظیر گوگل و با ارائه‌ی پیشنهاد اغواکننده‌ای معادل 19 میلیارد دلار، برنامه پیام‌رسان محبوب واتس‌اپ را به مالکیت خود درآورد. انتقالی که حدوداً 19 برابر مبلغ دیگر خرید فیس‌بوک، یعنی اینستگرام، برای این کمپانی هزینه دربرداشت.

جالب است بدانید که تیم واتس‌اپ تنها از 32 مهندس تشکیل شده است که به مدیریت روزانه 50 میلیارد پیغام از سوی چیزی در حدود 385 میلیون کاربر فعال مشغول هستند. به نظر این تیم کوچک بار سنگینی از مسئولیت را به دوش می‌کشند و نمی‌توان خوشبین بود که بتوانند بطور کامل و شایسته از پس این مسئولیت سنگین برآیند.

از طرف دیگر به‌تازگی انتقادهایی نسبت به امنیت پلتفرم واتس‌اپ که میلیاردها پیغام بر روی آن تحویل داده می‌شوند، بوجود آمده است. محققان لابراتوار امنیتی Praetorian، وجود چندین مشکل امنیتی مرتبط با SSL را در واتس‌اپ با بکارگیری «پروژه نپتون» تأیید نموده‌اند. لازم به ذکر است پروژه نپتون، پلتفرمی برای تست امنیت برنامه‌های موبایلی می‌باشد. این در حالی است که کمپانی واتس‌اپ در وبلاگ رسمی خود بیان کرده:

    ارتباطات بین گوشی شما و سرورهای ما به طور کامل رمزنگاری می‌شوند. ما تاریخچه گفتگوهای شما را در سرورهای خود ذخیره نمی‌کنیم. به محض اینکه پیغام شما با موفقیت تحویل مخاطب موردنظرتان شود، آن پیغام از سیستم ما حذف خواهد شد.

اما محققان، آسیب‌پذیری را در این برنامه یافته‌اند که آن را مستعد حملاتی از نوع «مردی در میانه» یا Man-in-the-Middle Attack می‌نماید؛ چرا که واتس‌اپ از قابلیت SSL Pinning پشتیبانی نمی‌کند و این موضوع امکان دزدیده‌شدن اعتبارها را به سادگی فراهم می‌کند.

بگذارید برای درک بهتر این موضوع کمی مختصر به بررسی مفاهیمی نظیر SSL، Man-in-the-Middle Attack و SSL Pinning بپردازیم.

    SSL یا Secure Sockets Layer به دو طریق از شما محافظت می‌کند. این لایه محافظتی با رمزنگاری اطلاعات شما، از دزدیده‌شدن اطلاعات حیاتی شما نظیر نام‌های کاربری، کلمه‌های عبور، شماره و کلمه‌عبور کارت‌های اعتباری و... جلوگیری می‌کند. همچنین SSL می‌تواند اعتبار و هویت یک سایت را تأیید نماید.
    Man-in-the-Middle Attack نیز به حملاتی گفته می‌شود که در آن اعتبار SSL یک سایت دزدیده و یا جعل می‌شود تا کاربران آن سایت به اشتباه به یک سایت جعلی اطمینان کنند. اما چگونه چنین چیزی رخ می‌دهد؟! شما به هنگام مرور یک وب‌سایت با تأییدیه SSL جعلی و نامعتبر از طریق یکی از مرورگرهای محبوب نظیر کروم، اخطاری مبنی بر اعلام این موضوع دریافت می‌کنید. اما مشکل وقتی پیش می‌آید که ترافیک فی‌مابین شما و سایت مورد نظر از طریق برنامه‌های موبایلی و غیرمرورگرها منتقل می‌شود و شما دیگر موفق به دریافت تأییدیه برای صحت SSL سایت موردنظر نخواهید شد. بنابراین در صورت مواجهه با سایتی که از یک SSL جعلی و غیرمعتبر استفاده می‌کند، هیچ اخطار خاصی شما را از ورود به آن سایت بازنخواهد داشت.
    و اما SSL Pinning؛ این ویژگی که در اغلب اپلیکیشن‌های محبوب نظیر گوگل، توئیتر و فیس‌بوک به کار گرفته شده است، بصورت خودکار از پذیرفتن اتصال به وب‌سایت‌هایی که SSL نامعتبر ارائه می‌دهند ممانعت می‌کند؛ به عبارتی این قابلیت به کاربر کمک می‌کند تا فقط و فقط به تبادل اطلاعات با سایتی بپردازد که گواهینامه معتبر مربوطه را دارا است.

کارشناسان امنیتی معتقدند:

    در حالی که ویژگی SSL Pinning امکان برقراری یک اتصال ایمن بین اپلیکیشن موبایلی و وب‌سرویس را ارائه می‌نماید، واتس‌اپ از این قابلیت بی‌بهره است. بدون اجبار در بکارگیری SSLPinning، یک حمله‌کننده می‌تواند با استفاده از تکنیک man-in-the-middle ارتباط بین اپلیکیشن موبایلی و وب‌سرویس واتس‌اپ را به راحتی مورد نفوذ قرار داده و به سوء‌استفاده از اطلاعات شخصی و حساس کاربران بپردازد.

واتس‌اپ به سرورهای میزبانی اطلاعات خود این اجازه را می‌دهد تا با استفاده از معماری‌های رمزنگاری ضعیفی مثل 40 بیت و 56 بیت به رمزنگاری اطلاعات کاربران بپردازند. این معماری‌های سطح پایین را می‌توان به راحتی و با بکارگیری شیوه‌هایی نظیر حملات Brute Force رمزگشایی نمود؛ شیوه‌ای که به گفته محققان، مورد علاقه سازمان‌های جاسوسی نظیر NSA می‌باشد.

به هر حال تیم واتس‌اپ اعلام نموده‌اند که در حال تلاش برای اضافه نمودن ویژگی SSL Pinning به برنامه خود هستند؛ هر چند در حال حاضر این نقیصه نمی‌تواند نوید حفاظت از حریم خصوصی کاربر را بدهد.

whatsapp spy app

اما پس از این مقدمه‌ها دوباره باز می‌گردیم به مبحث داغ خرید واتس‌اپ توسط فیس‌بوک. این دو کمپانی پس از اعلام رسمی خبر معامله، تأکید نموده‌اند که پس از این انتقال مالکیت، هیچگونه تغییری در روند کاری واتس‌اپ رخ نداده و این برنامه کماکان بصورت مستقل به سرویس‌دهی ادامه خواهد داد. اما آیا این کافی است؟! از دید ما خیر! مسأله اساسی اینجاست که شاید شما به کمپانی‌های بزرگی نظیر فیس‌بوک، گوگل، واتس‌اپ و... اعتماد داشته باشید؛ ولی واقعیت این است که نه تنها کاربران ایرانی، بلکه تمام کاربران دنیا نمی‌توانند به دولت آمریکا و سرویس‌های جاسوسی معروفش نظیر NSA اعتماد کنند! چیزی که واضح و مسلم است، آنها احترامی برای حریم خصوصی و آزادی بیان ما قائل نیستند و بارها و بارها خبرهایی مربوط به رسوایی‌های جدیدشان در این زمینه منتشر شده است.

برنامه‌های پیغام‌رسان موبایلی اغلب برای انتقال پیام‌های شخصی و حساس یا مکالمات کاری و حرفه‌ای مورد استفاده قرار می‌گیرند و با توجه به اینکه این اطلاعات در سرورهای سرویس‌دهنده‌های اینترنت (آی‌اس‌پی‌ها) نیز ثبت می‌شوند، می‌بایست بصورت End-to-End رمزنگاری شوند (یعنی از مبدأ تا مقصد). چیزی که در حال حاضر در واتس‌اپ وجود ندارد.

خوب. پس به عنوان یک نتیجه‌گیری ما با دو مشکل مواجه هستیم. امکان سوء استفاده از اطلاعات شخصی کاربران در برنامه‌های کمپانی‌های آمریکایی توسط دولت ایالات متحده (از جمله واتس‌اپ) و از طرف دیگر ایرادات امنیتی وارد به واتس‌اپ خصوصاً عدم رمزنگاری دو سویه اطلاعات و بی‌بهره ماندن از قابلیت مهم SSL Pinning.