واقعیت تکان‌دهنده درباره امنیت واتس‌اپ

در 22 مه 2024، وب‌سایت Intercept محتوای یک «ارزیابی تهدید» داخلی را فاش کرد که در آن مهندسان واتس‌اپ در مورد آسیب‌پذیری‌هایی که می‌تواند به سازمان‌های دولتی اجازه می‌دهد رمزگذاری پیام‌رسان را دور بزنند، بحث می‌کردند.

به گزارش سرگرمی روز، سه روز بعد، ایلان ماسک روی صحنه رفت و در حساب کاربری “X” خود مدعی شد که واتس اپ هر شب اطلاعات کاربران را استخراج می کند.

در هر دو مورد، ویل کاتکارت، رئیس واتس اپ، برای شفاف سازی چنین ادعاهایی به این شبکه اجتماعی رفت. او درست می گوید که رمزگذاری واتس اپ امن است و پیام های کاربران کاملا خصوصی است. با این حال، این دو داستان در مورد رمزنگاری نیستند. موضوع مربوط به «فراداده» یا «فراداده» است.

مشکل فراداده

واتس اپ از رمزگذاری سرتاسر برای محافظت از ارتباطات کاربر استفاده می کند. این کار را با تقسیم داده ها به شکلی غیرقابل خواندن انجام می دهد تا هیچ کس جز فرستنده و گیرنده، حتی خود متا، نتواند به آن دسترسی داشته باشد. در عین حال، دائماً جزئیات به ظاهر ناچیز در مورد فعالیت های پیام رسانی شما را جمع آوری می کند.

این اطلاعات یا فراداده شامل آدرس IP، شماره تلفنی که با آن صحبت کرده‌اید و زمان تماس است. شاید مهم به نظر نرسد، اما حتی چنین ردپای دیجیتالی کوچکی می تواند به عنوان یک عامل شناسایی عمل کند. به عنوان مثال، بخشی از ابرداده که حاوی یک ایمیل بازیابی Proton Mail بود، منجر به دستگیری یک فعال کاتالانی شد.

از نظر سیاست حفظ حریم خصوصی واتس اپ، این اپلیکیشن طیف گسترده ای از اطلاعات استفاده از جمله استفاده روتین و مدت زمان فعالیت و تعامل کاربر را ثبت می کند. سایر آمارهای قابل شناسایی، مانند جزئیات شبکه شما، مرورگری که استفاده می کنید، ISP شما و سایر شناسه های مرتبط با سایر محصولات متا مانند اینستاگرام و فیس بوک مرتبط با همان دستگاه یا حساب نیز ممکن است جمع آوری شوند.

WhatsApp آدرس IP کاربر را هنگام استفاده از این سرویس ثبت می کند. این جالب است زیرا آدرس IP کاربر می تواند برای ردیابی موقعیت مکانی آنها استفاده شود. همانطور که واتس اپ توضیح داد، حتی اگر کاربری ویژگی های مبتنی بر مکان را غیرفعال کند، آدرس IP و سایر اطلاعات جمع آوری شده، مانند کد منطقه شماره تلفن، می تواند برای تخمین موقعیت مکانی عمومی کاربر استفاده شود.

واتس اپ طبق قانون موظف است این اطلاعات را در طول تحقیقات با مجریان قانون به اشتراک بگذارد. مدیران اجرایی این داده ها را برای یافتن الگوها ارزیابی می کنند و این خارج از کنترل واتس اپ است. حتی با فرض غیرقابل شکست بودن رمزگذاری واتس اپ، همانطور که خود واتس اپ گفته است، جمع آوری داده ها مدل حریم خصوصی مورد نظر شرکت را نقض می کند.

این حفره، که می‌تواند رمزگذاری را دور بزند، مربوط به بهره‌برداری از آسیب‌پذیری‌ها در تحلیل ترافیک است. بخش فراداده دوباره روشن شده است. با این حال، این موضوع جدیدی نیست و واتس اپ در سیاست خود این موضوع را به صراحت اعلام کرده است.

چرا مهندسان واتس اپ در حال حاضر نگران این موضوع هستند؟

مشکل این است که تکنیک های نظارت دائماً در حال پیشرفت هستند. تیم امنیت داخلی واتس اپ موارد بسیاری از حملات اصلاح همبستگی را شناسایی کرده است، که در آن تجزیه و تحلیل داده های رمزنگاری مرتبط با ابرداده های قابل مشاهده می تواند حفاظت از حریم خصوصی برنامه را دور بزند. بدتر از آن، می توان از همین نوع ردیابی برای سایر برنامه های پیام رسانی استفاده کرد.

اگرچه ادعای ماسک ماهیت متفاوتی دارد، اما در مورد ابرداده است. این بار آنچه زیر ذره بین است این است که خود شرکت متا از این جزئیات ارزشمند برای مقاصد تجاری استفاده می کند.

این نکته در سیاست حفظ حریم خصوصی و شرایط استفاده از سرویس واتس اپ نیز ذکر شده است. واتس‌اپ اعلام کرده است که ممکن است از اطلاعاتی که از شرکت‌های تابعه متا دریافت می‌کنیم استفاده کنیم، و آن‌ها ممکن است از اطلاعاتی که با آنها به اشتراک می‌گذاریم برای کار، ارائه، بهبود، درک، سفارشی‌سازی، نگهداری و بازاریابی خدمات و پیشنهادات ما استفاده کنند.

به گفته TechRadar، این بدان معنی است که پیام های کاربران همیشه خصوصی هستند، اما واتس اپ به طور فعال از ابرداده برای ایجاد شخصیت دیجیتالی کاربر در پلتفرم های متا استفاده می کند.