لا تغرّك خدعة التشفير.. اكتشاف ثغرة في “واتساب” تسمح بالتجسُّس على الرسائل

عربي بوست
تم النشر: 2017/01/13 الساعة 15:04 بتوقيت غرينتش
تم التحديث: 2017/01/13 الساعة 15:04 بتوقيت غرينتش

في مفاجأة صادمة، عُثر على ثغرة أمنية يُمكن استخدامها للسماح لشركة فيسبوك وجهات أخرى باعتراض وقراءة الرسائل المشفرة في واتساب.

تزعم شركة فيسبوك أن لا أحد يمكنه اعتراض رسائل واتساب، ولا حتى الشركة وموظفوها، ضماناً لخصوصية مستخدميه الذين يتخطى عددهم المليار، لكن بحثاً جديداً يُظهر أن الشركة يُمكنها في الواقع قراءة الرسائل بسبب الطريقة التي نفّذ بها واتساب بروتوكول التشفير بين الجهتين.

وقال نشطاء الخصوصية إن هذه الثغرة هي "تهديد هائلٌ لحرية التعبير"، محذرين من إمكانية استخدامها من قبل الوكالات الحكومية للتلصص على المستخدمين ممن يعتقدون أن رسائلهم آمنة.

وجعل واتساب من الخصوصية والأمن نقطة مهمّة في الترويج لنفسه، وأصبح التطبيق وسيلة التواصل التي يلجأ إليها النشطاء، والمعارضون والدبلوماسيون.

ويعتمد تشفير واتساب بين جهتي الاتصال على جيل الشفرات الأمنية الفريدة، باستخدام بروتوكول "سيجنال" الذي يلقى استحساناً واسعاً، والذي طورته شركة Open Whisper Systems، هذه الشفرات تنتقل بين المستخدمين ويتم التأكد منها لضمان عدم اعتراض أي وسيط لعملية التواصل بين المستخدمين.

لكن واتساب لديه القدرة على تصنيع مفاتيح تشفير جديدة للرسائل في حال كان المستخدمون غير متصلين بالإنترنت، بدون علم مُرسل الرسائل ومستقبلها.

واتساب يعيد تشفير الرسائل بمفاتيح جديدة عن طريق حساب الشخص المرسل دون علمه، ويرسلها مرة أخرى لجهات جديدة وذلك فقط بالنسبة للرسائل التي لم تتلقّ علامة الاستقبال.

لا يتلقى المستقبل تنبيهاً بهذا التغير في التشفير، ولا يتلقى المرسل إشعاراً إلا إذا كان هو يسمح بتلقي إشعارات التشفير في الإعدادات، وبعد أن تكون الرسائل قد أُعيد إرسالها بالفعل.

تسمح إعادة التشفير والبث هذه لواتساب باعتراض رسائل المستخدمين وقراءتها.


اكتُشِف هذا الباب الخلفي على يد طوبياس بويلتر، خبير التشفير والباحث الأمني بجامعة كاليفورنيا، والذي قال لصحيفة The Guardianالبريطانية "إن طلبت وكالة حكومية من واتساب الكشف عن سجلات المراسلة، فيمكنه بالفعل إعطاءها حق الولوج بسبب التغير في مفاتيح التشفير".

ليس هذا الباب الخلفي متأصلاً في بروتوكول "سيجنال". فتطبيق المراسلة Signal الذي ينصح باستخدامه إدوارد سنودن، لا يُعاني من نقطة الضعف نفسها، إن غير المستقبِل المفتاح الأمني في حالة عدم الاتصال بالإنترنت، على سبيل المثال، فإن الرسالة المُرسلة ستفشل في الوصول وسيُعلم المُرسل بالتغير في المفاتيح الأمنية بدون إعادة الإرسال الأوتوماتيكية للرسائل.

أمّا تطبيق واتساب فيُعيد إرسال الرسالة التي لم تصل أوتوماتيكياً باستخدام مفتاحٍ جديد ودون تحذير المستخدم مسبقاً أو إعطائه القدرة على منع الأمر.

سلوك متوقع

أبلغ بويلتر فيسبوك بالثغرة في أبريل/نيسان 2016، لكن الرد كان أن فيسبوك على علم بالمشكلة، وأنها "سلوك متوقع" ولم يجر العمل عليه بشكلٍ جاد، وقد تأكدت الغارديان من أن الثغرة لا تزال موجودة.

وقد أكّد ستيفن تور جينسن، رئيس أمن المعلومات ومكافحة المراقبة الرقمية بالمنظمة الأوروبية البحرينية لحقوق الإنسان، اكتشافات بويلتر، وقال "يُمكن لواتساب الاستمرار في تغيير المفاتيح الأمنية عندما تصير الأجهزة غير متصلة بالإنترنت وإعادة إرسال الرسالة، دون إعلان المستخدمين بالتغيير حتى ما بعد إرسالها، وهو ما ينتج عنه منصة غير آمنة على الإطلاق".

يقول بويلتر: "قد يقول البعض إن هذه الثغرة لا يمكن استغلالها إلا للتجسس على رسائل مفردة مستهدفة، وليس محادثات كاملة، وهذا ليس صحيحاً إن وضعنا في الاعتبار أن خادم واتساب يمكنه ببساطة إعادة إرسال الرسائل بدون إشعار "الرسالة وصلت إلى المُستقبل أو علامة صح المزدوجة"، باستخدام ثغرة إعادة البث، يُمكن لخادم واتساب لاحقاً أن يحصل على تفريغٍ للمحادثة كلها، وليس فقط رسالة واحدة.

تستدعي هذه الثغرة أسئلة حول سرية الرسائل المُرسلة من خلال الخدمة، التي تُستخدم في أنحاء العالم، ومن قبل أشخاصٍ يعيشون في أنظمة قمعية.

منجم ذهب للوكالات الأمنية

وصفت كريستي بول، المديرة المساعدة ومؤسسة مركز أبحاث المعلومات والمراقبة والخصوصية، وجود الباب الخلفي داخل تشفير واتساب بـ"منجم الذهب بالنسبة للوكالات الأمنية" و"خيانة كُبرى لثقة المستخدم".

وأضافت إنه تهديد هائل لحرية التعبير، كون قدرة الخدمة على النظر فيما تقول إن أرادت، وسيقول المستهلكون، ليس عندي شيءٌ أخفيه، لكنك لا تدري ما هي المعلومات التي يبحثون عنها وما هي الاتصالات التي تُجرى.

في المملكة المتحدة، يسمح قانون القوى الاستقصائية الصادر حديثاً للحكومات باعتراض البيانات التي تمتلكها الشركات الخاصة، بدون الشك في أنشطة إجرامية، في نشاطٍ مماثل لنشاط وكالة الأمن القومي الذي كشف عنه سنودن.


للحكومات أيضاً سلطة إجبار الشركات على "الحفاظ على القدرات التقنية" التي تسمح بالاختراق والاعتراض، وتُلزم الشركات بإزالة "الحماية الإلكترونية" عن البيانات.

وقال جيم كيلوك، المدير التنفيذي لمجموعة الحقوق المفتوحة Open Rights Group، إنه إن كانت الشركات تزعم توفيرها تشفيراً بين الجهتين، فيجب عليها المصارحة إن عثر على أن التشفير معرض للاختراق – إما عن طريق أبواب خلفية مركّبة عمداً، أو عيوب أمنية.

وقال متحدث رسمي باسم واتساب للغارديان إن أكثر من مليار شخص يستخدمون واتساب اليوم لأنه بسيط، وسريع، ويعتمد عليه، وآمن.

مضيفاً "في واتساب، آمنا دوماً بأن محادثات الأشخاص يجب أن تكون آمنة وسرية"، وقال أنه في 2016 أعطت واتساب كل المستخدمين مستوىً أفضل من الأمن عن طريق جعل كل رسالة، أو صورة، أو فيديو، أو ملف، أو اتصالٍ مشفّر بين الجهتين بشكلٍ اعتيادي.

ومع تقديم الشركة ميزات مثل التشفير بين الجهتين، ركزنا على إبقاء المنتج بسيطاً.

وتابع "في استخدام واتساب لبروتوكول (سيجنال)، لدينا خيار إظهار الإشعارات الأمنية (الموجود في قائمة الإعدادات > الحساب > الأمن) والذي يُعلمك في حالة تغير الشفرة الأمنية لاتصالك.

نعرف أن الأسباب الأكثر شيوعاً لحدوث هذا هي تبديل أحدهم للهواتف أو إعادة تحميل تطبيق واتساب، وفي هذه المواقف، نريد أن نتوثّق من وصول الرسائل، وعدم فقدانها أثناء الانتقال".

وبمطالبته بالتعليق خصيصاً على ما إذا كان فيسبوك/واتساب قد ولج إلى رسائل المستخدمين وما إذا كان قد فعل هذا بناءً على طلب الوكالات الحكومية أو أطراف ثالثة أخرى، وجّه المتحدث الغارديان إلى موقع الشركة الذي يفصّل جمع البيانات بناءً على طلب الحكومات لكل دولة.

أصدر واتساب لاحقاً بياناً يقول "واتساب لا يُعطي الحكومات (باباً خلفياً) إلى أنظمته وسيحارب أي طلبٍ حكومي بخلق بابٍ خلفي".

وقد أشير إلى المخاوف بشأن خصوصية مستخدمي واتساب بشكلٍ متكرر منذ استحواذ فيسبوك على الشركة في مقابل 22 ملياراً في العام 2014.

وفي أغسطس/آب 2015، أعلن فيسبوك عن تغيير في سياسات الخصوصية التي تحكم واتساب بما يسمح لشبكة التواصل الاجتماعي بدمج البيانات من مستخدمي واتساب وفيسبوك، ومن ضمنها أرقام الهاتف واستخدام التطبيق، لأغراض دعائية وتطويرية.

أوقف فيسبوك استخدام بيانات المستخدمين المشتركة لأغراض دعائية في نوفمبر/تشرين الثاني بعد ضغط من مجموعة وكالات حماية البيانات الأوروبية.

واتهمت اللجنة الأوروبية فيسبوك حينها بتقديم معلومات "مضللة" في الفترة التي سبقت استحواذ الشركة على خدمة المراسلة واتساب، على إثر تغيير مشاركة البيانات.

هذا الموضوع مترجم بتصرف عن صحيفة The Guardian البريطانية. للاطلاع على المادة الأصلية اضغط هنا.

تحميل المزيد