رمزگذاری سرتاسری واتس‌اپ آسیب‌پذیر است

انتشار جزئیات جدیدی از میزان آسیب‌پذیری واتس‌اپ که دور زدن رمزگذاری سرتاسری را ممکن می‌کرد، اعلام شد. با این‌که واتس‌اپ مدعی است رمزگذاری سرتاسری مانع دسترسی به اطلاعات حساسی از جمله محتوای چت‌ها می‌شود، اما موسسه «CPR» با انتشار جزئیات آسیب‌پذیری اخیر این برنامه، تایید می‌کند این فناوری نتوانسته مانع نفوذ هکرها شود.

آسیب‌پذیری واتس‌اپ

CPR آبان‌ ماه پارسال از آسیب‌پذیری امنیتی در پیام‌رسان محبوب واتس‌اپ خبر داد. با این‌که واتس‌اپ این مشکل را پس‌از سپری شدن چند ماه و اوایل سال‌ جاری میلادی رفع کرد، ولی حالا این تیم تحقیقاتی با تاکید بر این موضوع که هکرها موفق شدند رمزگذاری سرتاسری را از طریق این آسیب‌پذیری دور بزنند، جزئیات بیشتری درباره آن انتشار داده است.

واتس‌اپ آسیب‌پذیری را تایید کرد

در این‌حال، واتس‌اپ هم با انتشار بیانیه‌ای با تایید آسیب‌پذیری یادشده که اجازه مشاهده همه چت‌ها را برای هکرها فراهم می‌کند، از CPR برای تهیه گزارش و هشدار نسبت به این باگ امنیتی قدردانی کرد.
با این‌حال، شرکت یادشده در پایان مدعی شده است که رمزگذاری سرتاسری این برنامه امنیت لازم را دارد، با این‌که محققان  CPR نظر دیگری دارند.
هرچند دسترسی به اطلاعات حساس کاربران مانند محتوای همه چت‌‌ها از راه این آسیب‌پذیری فرآیندی چند مرحله‌ای می‌باشد و پیچیده‌ به نظر می‌رسد، ولی به‌آسانی قابل اجرا است و محققان CPR هم در مراحل بررسی این آسیب‌پذیری، بدون مشکل خاصی توانستند به چنین اطلاعاتی دست یابند.

شیوه دسترسی هکرها به اطلاعات

در این مرحله برای آن‌که هکر بتواند به اطلاعات چت‌های کاربر دسترسی پیدا کند، در مرحله نخست لازم است از طریق قابلیت پیوست تصویر، تصویری را برای کاربر مورد نظر خود که تصمیم به هک کردن اطلاعات او را دارد، ارسال کند.
به‌طور معمول هکرها از تصویری مخدوش یا تار برای این کار بهره می‌گیرند. وب‌سایت CPR نمونه‌ای از این عکس را به اشتراک گذاشته است.
در مرحله دوم کاربر ناگزیر می‌شود عکسی که با فیلترهای واتس‌اپ دست‌کاری شده را برای فرستنده اول که همان هکر است اما او از هویت هکر بودن فرستنده آگاه نیست، دوباره بفرستد.
با ارسال عکس، فرستنده یعنی همان هکر قادر خواهد بود از آسیب‌پذیری آن بهره ببرد و به اطلاعات حساس کاربر شامل محتوای چت‌ها دسترسی داشته باشد.
این موضوع با این‌که به‌طور ظاهری می‌تواند پیچیده باشد،‌ ولی انجام آن می‌تواند ساده باشد و هکر قادر خواهد بود به‌آسانی کار را جلو ببرد.
تیم تحقیقاتی CPR فیلترهای متعددی را روی فایل تصویر ارسال شده تست کرده‌اند. آن‌چه روشن است، رمزگذاری سرتاسری در این شیوه قابل دور زدن می‌باشد و اطلاعات حساس کاربر در دسترس هکرها قرار می‌گیرد.

هشدار CPR به واتس‌اپ

موسسه تحقیقاتی CPR در ۱۰ نوامبر ۲۰۲۰ درباره این آسیب‌پذیری به واتس‌اپ هشدار داد و این باگ امنیتی اوایل امسال این مشکل را رفع کرد. اکنون نسخه ۲.۲۱.۱.۱۳ واتس‌اپ چنین باگ امنیتی ندارد و مشکل رفع شده است.

فعال شدن رمزگذاری سرتاسری

فیس‌بوک چندی پیش امکان رمزگذاری سرتاسری (E2EE) را برای تماس‌های صوتی و تصویری پیام‌رسان مسنجر فعال کرد و در این راستا آزمایش محدود فناوری مشابه برای دایرکت‌های اینستاگرام آغاز شد.
قابلیت رمزگذاری سرتاسری (E2EE) که سد راه دسترسی دیگران به پیام‌های کاربران می‌شوند، از سال ۲۰۱۶ برای گفت‌وگوهای متنی در اختیار کاربران فیس‌بوک مسنجر قرار دارد، اما اکنون چنین فناوری به تماس‌های صوتی و تصویری این پیام‌رسان افزوده شده است.
به گفته فیس‌بوک، با چنین قابلیت و امکانی دیگر هیچ شخص‌ثالثی از جمله خود این شرکت قادر نخواهد بود تماس‌ها را مشاهده کند یا بشنود.

مقابله با سرقت اطلاعات

قابلیت رمزگذاری سرتاسری فیس‌بوک در حالی اعلام شد که براساس گزارش‌های منتشر شده در هفته‌های گذشته، محققان امنیتی، 9 اپلیکیشن که اطلاعات فیس‌بوک کاربران را سرقت می‌کردند، را شناسایی کردند.
Arstechnica، به‌تازگی گزارش داد که محققان 9 اپلیکیشن اندروید را شناسایی کردند که از شیوه زیرکانه برای به‌دست آوردن اطلاعات ورود کاربران فیس‌بوک استفاده می‌کردند، یکی از اپ‌های یادشده تاکنون بیش‌از 5/8 میلیون بار از گوگل‌پلی، دانلود شده است.
شرکت امنیتی Dr.Web با انتشار پستی، آورده است: این اپ‌ها برای جلب اعتماد کاربران و پایین آوردن گارد آن‌ها، خدمات کاملی برای ویرایش عکس، تمرینات ورزشی، فال و حذف فایل‌های ناخواسته از دستگاه‌های اندرویدی عرضه می‌کردند.
تمام اپلیکیشن‌های شناسایی شده به کاربران این اجازه را می‌دهد که با ورود به حساب فیس‌بوک، تبلیغات درون‌برنامه‌ای را غیرفعال کنند.
افرادی‌که این گزینه را انتخاب کرده‌اند، فرم ورود به سیستم واقعی فیس‌بوک را رویت کردند که مشتمل‌بر بخش‌هایی برای وارد کردن نام کاربری و رمز عبور است.

علی حبیبی