واقعیت تکاندهنده درباره امنیت واتساپ
واتساپ به تازگی ظاهرا به دلیل به خطر انداختن دادههای بیش از ۲ میلیارد کاربرش، زیر ذره بین رفته است اما آیا مشکل، رمزنگاری این پیامرسان است؟
به گزارش اکو ۳۶۵ و به نقل از ایسنا، وب سایت اینترسپت در ۲۲ ماه مه سال ۲۰۲۴، محتوای یک «ارزیابی تهدید» داخلی را فاش کرد که در آن، مهندسان واتساپ درباره آسیب پذیریهایی گفتوگو کردهاند که میتواند به سازمانهای دولتی امکان دهد رمزنگاری این پیامرسان را دور بزنند.
سه روز بعد، ایلان ماسک به صحنه آمد و در حساب «ایکس» خود مدعی شد واتساپ، هر شب از دادههای کاربران خروجی میگیرد.
در هر دو مورد، ویل کت کارت، رئیس واتساپ به شبکه اجتماعی آمد تا درباره چنین ادعاهایی، شفاف سازی کند. وی در این مورد حق دارد که رمزنگاری واتساپ، امن است و پیام کاربران کاملا خصوصی است. با این حال، این دو داستان مربوط به رمزنگاری نیستند. مسئله مربوط به «مِتادیتا» یا «فراداده» است.
مسئله فراداده
واتساپ برای محافظت از ارتباطات کاربران، از رمزنگاری نقطه به نقطه استفاده میکند. این کار را با تقسیم داده به یک شکل غیرقابل خواندن انجام میدهد تا هیچ کس بجز فرستنده و گیرنده، حتی خود شرکت متا هم به آن دسترسی نداشته باشد. همزمان، مرتبا جزئیات به ظاهر بیاهمیت مربوط به فعالیتهای پیامرسانی شما را گردآوری میکند.
این اطلاعات یا فراداده شامل آدرس آیپی، شماره تلفنی که با آن صحبت کردهاید و زمان مکالمه میشود. شاید مهم به نظر نرسد اما حتی چنین ردهای دیجیتالی کوچکی هم میتواند به شکل یک عامل شناسایی کننده عمل کند. به عنوان مثال یک قطعه فراداده که شامل ایمیل بازیابی «پروتون میل» بود، به دستگیری یک فعال اهل کاتالان منجر شد.
در خصوص سیاست حریم خصوصی واتساپ، این اپلیکیشن، اطلاعات وسیعی از استفاده شامل روال استفاده و مدت فعالیت و تعامل کاربر را ثبت میکند. سایر آمار قابل تشخیص مانند جزئیات شبکه شما، مرورگری که استفاده میکنید، آیاسپی و سایر شناسایی کنندههای مرتبط با محصولات دیگر متا نظیر اینستاگرام و فیسبوک مرتبط با دستگاه یا حساب مشابه هم قابل جمعآوری هستند.
واتساپ، آدرس آیپی کاربر را وقتی از این سرویس استفاده میکند، ثبت میکند. این جالب است زیرا آیپی کاربر میتواند برای ردگیری مکان او استفاده شود. آن طور که واتساپ توضیح داده است، حتی اگر کاربر، ویژگیهای مبتنی بر مکان را غیرفعال کند، آدرس آیپی او و سایر اطلاعات جمع آوری شده مانند کد منطقه شماره تلفن، میتواند برای ارزیابی موقعیت مکانی کلی کاربر استفاده شود.
واتساپ بر اساس قانون، ملزم است این اطلاعات را در طول تحقیقات با مقامات قانونی به اشتراک بگذارد. مقامات اجرایی این دادهها را مورد ارزیابی قرار میدهد تا الگوهایی را پیدا کند و این مسئله، خارج از کنترل واتساپ است. حتی با فرض این که رمزنگاری واتساپ، غیرقابل شکستن باشد، آن طور که خود واتساپ گفته است، جمع آوری داده، مدل حریم خصوصی مورد نظر این شرکت را میشکند.
این حفره که میتواند رمزنگاری را دور بزند، با بهره برداری از آسیب پذیریهای تحلیل ترافیک، مرتبط است. دوباره، پای فراداده در میان است. با این حال، این موضوع جدیدی نیست و واتساپ به شکل واضح در سیاست خود اعلام کرده است.
چرا مهندسان واتساپ اکنون نگران این مسئله شدهاند؟
مسئله این است که تکنیکهای تجسس، مدام در حال پیشرفتهتر شدن هستند. تیم امنیت داخلی واتساپ، موارد بسیاری از حملات به اصلاح همبستگی را شناسایی کرده که در آن تحلیل داده رمزنگاری شده مرتبط به فراداده قابل مشاهده، میتواند حفاظتهای حریم خصوصی این اپلیکیشن را دور بزند.بدتر از آن، همین نوع ردیابی میتواند برای سایر اپلیکیشنهای پیامرسان هم استفاده شود.
هر چند ادعای ماسک، ماهیت متفاوتی دارد اما در آن به فراداده اشاره شده است. این بار، آنچه زیر ذره بین است، این است که خود شرکت متا، از این جزئیات ارزشمند برای اهداف تجاری، استفاده میکند.
این نکته در سیاست حریم خصوصی و شرایط استفاده از سرویس واتساپ هم مورد اشاره قرار گرفته است. واتساپ اعلام کرده است ممکن است از اطلاعاتی که از زیرمجموعههای شرکت متا دریافت میکنیم استفاده کنیم و ممکن است از اطلاعاتی که ما با آنها به اشتراک میگذاریم استفاده کنند تا به کار، ارائه، بهبود، درک، سفارشی سازی، پشتیبانی و بازاریابی خدمات و پیشنهادات آنها کمک شود.
بر اساس گزارش تِک رادار، این به معنای آن است که پیام کاربران، همیشه خصوصی است اما واتساپ فعالانه از فراداده برای ساخت شخصیت دیجیتالی کاربر در سراسر پلتفرمهای شرکت متا استفاده میکند.