امنیت واتساپ چه مقدار است؟ آیا در برابر جاسوسی امن است؟_خبررسان

این سوال که آیا واتس‌اپ امن است، فقط توسط متخصصان امنیت سایبری نقل نمی‌شود، بلکه این سوال ذهن والدین، دانشجویان، کارآفرینان، فعالان و حتی افراد مشهور را نیز به خود مشغول کرده است. با دقت به رسوایی‌هایی که شامل حال شرکت مادر آن، Meta، و افزایش نظارت‌های دولتی و جرائم سایبری پیچیده‌تر، تعداد بسیاری از کاربران دلواپس می باشند که آیا در شرایطی که نگه داری حریم خصوصی‌شان اهمیت بیشتری اشکار می‌کند، منفعت گیری از واتس‌اپ امن است یا خیر.

به گزارش قسمت امنیت رسانه فناوری تکنا، واتساپ با بیشتر از ۲ میلیارد کاربر، یک غول ارتباطات جهانی و در عین حال یک مقصد مهم برای حملات است. خطرات در اینجا زیاد جدی می باشند؛ یک نادرست کوچک کافی است تا یک عکس شخصی، یک قرارداد محرمانه یا حتی یک تشخیص پزشکی به دست افراد نادرست بیفتد. حقیقت این است که تعداد بسیاری از کاربران فکر می‌کنند چت‌هایشان فقط به این علت که نماد یک قفل را می‌بینند و عبارت رمزنگاری سرتاسری (end-to-end encryption) را می‌خوانند، محافظت خواهد شد. اما این عبارت واقعاً به چه معناست؟ آیا واتس‌اپ امن است یا ما فقط در یک حس امنیت کاذب فرو رفته‌ایم؟

در جواب باید او گفت واتس‌اپ از رمزنگاری سرتاسری منفعت گیری می‌کند که اصطلاحی با مفهوم زیاد امن است و از نظر فنی نیز این چنین است. این سیستم با همکاری Open Whisper Systems، سازندگان پروتکل Signal، گسترش یافته است و به این معنی است که مطلب‌های شما از لحظه‌ای که تلفنتان را ترک می‌کنند تا وقتی که به دست گیرنده می‌رسند، به طور درهم و ناخوانا درمی‌آیند. این ساختار طراحی شده تا از خواندن محتوای مطلب یا گوش دادن به تماس‌ها توسط واتس‌اپ، شرکت مادر آن Meta یا هر شخص ثالثی که امکان پذیر داده‌ها را در میانه انتقال رهگیری کند، جلوگیری کند. بعد، آیا منفعت گیری از واتس‌اپ امن است؟ در تئوری، بله؛ اما در عمل، حالت پیچیده‌تر است.

محدودیت های واتساپ در رمزنگاری

رمزنگاری سرتاسری واتس‌اپ شامل مطلب‌های متنی، فایل‌های رسانه‌ای به اشتراک گذاشته شده همانند عکس، ویدیو و اسناد، مطلب‌های صوتی و تماس‌های صوتی و تصویری و این چنین حالت‌ها می‌شود. هر ربط با یک سیستم قفل و کلید بی همتا رمزگذاری می‌شود که به طور مکرر بازتولید می‌شود. این همانند به ارسال نامه‌ای است که فقط با یک تاثییر انگشت خاص باز می‌شود. اما در حالی که این سیستم زیاد قوی به نظر می‌رسد، کاربران زیاد تر آنچه را که رمزنگاری سرتاسری محافظت نمی‌کند نادیده می‌گیرند. اگر مطلب‌های شما رمزنگاری شده است، بعد مشکل چیست؟ اینجا جایی است که حالت پیچیده می‌شود.

واتس‌اپ مطلب‌ها را در میانه انتقال رمزنگاری می‌کند اما ابرداده‌ها رمزنگاری نمی‌شوند. این داده‌ها شامل اطلاعاتی درمورد این که شما با چه فردی، چه وقتی و چه زمان سخن بگویید می‌کنید، می‌شود. این همانند آن است که فردی محتوای نامه شما را نبیند اما دقیقاً بداند آن را برای چه فردی، با چه بسیاری و در چه وقتی فرستاده‌اید. پشتیبان‌گیری‌های ابری صدمه‌پذیر می باشند. اگر چت‌های شما در Google Drive یا iCloud پشتیبان‌گیری شوند، دیگر تحت حفاظت رمزنگاری سرتاسری نیستند، مگر این که شما به طور صریح پشتیبان‌گیری رمزنگاری شده را فعال کنید.

ضعف واتساپ در روبه رو بدافزارها

این چنین اگر بدافزاری تلفن شما را آلوده کند، حتی نیرومندترین رمزنگاری هم از شما محافظت نمی‌کند، چون هکرها می‌توانند قبل از رمزنگاری شدن مطلب‌ها، از صفحه شما اسکرین‌شات بگیرند، کلیدهای فشرده شده را ثبت کنند یا مطلب‌ها را رهگیری کنند. به این علت، اگرچه واتس‌اپ در تئوری رمزنگاری قوی دارد، اما منفعت گیری در دنیای واقعی زیاد تر شکاف‌هایی را تشکیل می‌کند که می‌تواند به کابوس‌های حریم خصوصی منجر شود.

تلاش های واتساپ برای تحکیم امنیت

واتس‌اپ این چنین ویژگی‌های امنیتی فرد دیگر همانند قبول هویت دو مرحله‌ای را اراعه می‌دهد که یک پین شش رقمی به حساب شما اضافه می‌کند و زمان ثبت شماره تلفن مجدد الزامی است. این ویژگی از شما در برابر حملات معاوضه سیم کارت محافظت می‌کند. این چنین می‌توانید زمان تحول کد امنیتی یک مخاطب، مطلع شوید. این طبق معمولً وقتی اتفاق می‌افتد که مخاطب مجدد واتس‌اپ را نصب کرده یا تلفن خود را تحول می‌دهد. اگرچه زیاد تر اوقات این اتفاق بی‌خطر است، اما در موارد نادر می‌تواند نشان‌دهنده یک دعوا MITM یا ثبت حساب شما توسط شخص فرد دیگر باشد.

احراز هویت بیومتریک نیز در دستگاه‌های پشتیبانی‌شده به شما امکان می‌دهد برای باز کردن واتس‌اپ حتی اگر تلفنتان باز است، نیاز به تاثییر انگشت یا احراز هویت چهره داشته باشید. این ویژگی لایه فرد دیگر از محافظت در برابر فردی است که امکان پذیر به طور موقت به تلفن شما دسترسی فیزیکی اشکار کند.

واتس‌اپ اکنون امکان رمزنگاری سرتاسری اختیاری برای پشتیبان‌گیری ابری را نیز فراهم کرده، اما از آنجا که به طور پیش‌فکر فعال نیست، تعداد بسیاری از کاربران پشتیبان‌گیری‌های ابری خود را صدمه‌پذیر باقی می‌گذارند. ویژگی مطلب‌های ناپدیدشونده به کاربران اجازه می‌دهد تا مطلب‌ها را بعد از یک دوره از پیش تعیین‌شده به طور خودکار حذف کنند و برای افت نگهداری طویل‌زمان داده‌های مکالمه طراحی شده است.

ویژگی «مشاهده یکبار» نیز برای اشتراک‌گذاری عکس‌ها و ویدیوها است که رسانه را بعد از یک بار مشاهده توسط گیرنده حذف می‌کند، اما اثربخشی آن محدود است چون گیرندگان زیاد تر می‌توانند با اسکرین‌شات یا دستگاه‌های دیگر محتوا را ثبت کنند. این ویژگی‌ها کنترل بیشتری بر داده‌ها و دسترسی به برنامه به کاربران خواهند داد اما باید محدودیت‌های آن‌ها را در نظر داشت. برای مثال، مطلب‌های تایمردار مانع از کپی یا اسکرین‌شات گرفتن از محتوا قبل از حذف خودکار آن نمی‌شوند.

واتس‌اپ مجموعه جدیدی از تنظیمات حریم خصوصی پیشرفته چت را برای چت‌های فردی و گروهی معارفه کرد. این تنظیمات با مقصد اراعه کنترل زیاد تر به کاربران بر نحوه مدیریت محتوای چت‌هایشان توسط دیگران است و به آن‌ها اجازه می‌دهد از انتقال چت‌ها جلوگیری کنند، دانلود خودکار رسانه‌ها به تلفنشان را مسدود کنند و منفعت گیری از مطلب‌ها برای قابلیت‌های هوش مصنوعی را محدود کنند. این ایده برای دشوارتر کردن انتقال یا منفعت گیری از محتوای چت در خارج از واتس‌اپ است. اگرچه این افزودنی‌ها مزایای ملموسی اراعه خواهند داد، اما پیچیدگی‌هایی نیز تشکیل می‌کنند و امکان پذیر همیشه به نگرانی‌های اساسی‌تر همانند جمع‌آوری گسترده ابرداده‌ها نپردازند

صدمه پذیری واتساپ

حتی با وجود رمزنگاری سرتاسری واتس‌اپ برای محتوای مطلب‌ها، این پلتفرم هم چنان در برابر مسائل امنیتی صدمه‌پذیر است. چند حادثه امنیتی واقعی در قبل با واتس‌اپ مرتبط بوده‌اند. این حوادث نشان خواهند داد که مشکل فراتر از رمزنگاری مطلب‌ها در میانه انتقال است و شامل برنامه‌های کاربری، دستگاه‌های پایانی و عامل انسانی نیز می‌شود. یک صدمه‌پذیری با شدت بالا در واتس‌اپ برای ویندوز آشکار شد که به مهاجمان امکان می‌داد فایل‌های اجرایی مخرب را به گفتن فایل‌های بی‌زیان همانند تصاویر نهان کنند.

اگر کاربر این چنین فایلی را در واتس‌اپ باز می‌کرد، می‌توانست به اجرای کد دلخواه روی سیستم آن‌ها منجر شود. در مارس ۲۰۲۵، شرکت امنیتی Check Point یک صدمه‌پذیری حیاتی را در واتس‌اپ آشکار کرد که به مهاجمان امکان می‌داد با ارسال فایل‌های ویدیویی به خصوص طراحی‌شده، کدهای مخرب را اجرا کنند. بنا به گزارش‌ها، تنها با مشاهده ویدیوی مخرب، اسکریپت‌ها به طور مخفیانه روی دستگاه مقصد فعال می‌شدند و به مهاجمان امکان دسترسی به اطلاعات حساس همانند حافظه محلی، دوربین، میکروفون و حتی گزارش‌های چت واتس‌اپ را می‌داد.

تاریخچه حملات بزرگ سایبری به واتساپ

۱- پگاسوز اسرائیل

در سال ۲۰۱۹، واتس‌اپ قبول کرد که بیشتر از ۱۴۰۰ کاربر از جمله روزنامه‌نگاران، دیپلمات‌ها و فعالان حقوق بشر با منفعت گیری از یک صدمه‌پذیری در ویژگی تماس صوتی واتس‌اپ مقصد قرار گرفته‌اند. قربانیان حتی نیاز به جواب دادن به تماس نداشتند، تنها دریافت آن برای نفوذ Pegasus اسرائیلی به تلفنشان کافی می بود. نبردهای حقوقی و تحقیقاتی که تا اواخر سال ۲۰۲۴ و اغاز ۲۰۲۵ ادامه یافتند، ماهیت مداوم این حملات را نشان داد.

۲- جاسوس‌افزار گرافیتی پاراگون

اسناد دادگاه در مه ۲۰۲۵ قبول کرد که گروه NSO به مقصد قرار دادن کاربران واتس‌اپ ادامه داده است. در اواخر سال ۲۰۲۴، واتس‌اپ به یک دعوا منفعت‌برداری با zero-click برای استقرار بدافزار جاسوسی Graphite توسط Paragon پرداخت. گزارش‌ها در اغاز ۲۰۲۵ قبول کردند که نزدیک به ۹۰ نفر از جمله روزنامه‌نگاران و اعضای جامعه مدنی در چندین سرزمین مقصد قرار گرفتند.

جمع آوری داده ها : ناامنی

رمزنگاری سرتاسری مطمعن می‌دهد که محتوای واقعی مطلب‌ها، عکس‌ها، ویدیوها و تماس‌ها از واتس‌اپ و Meta خصوصی باقی می‌ماند. با این حال، واتس‌اپ مقدار قابل توجهی ابرداده جمع‌آوری می‌کند؛ اطلاعاتی در رابطه ارتباطات و کاربران. این ابرداده‌ها شامل اطلاعات حساب، اطلاعات منفعت گیری، اطلاعات دستگاه و اتصال، اطلاعات کلی موقعیت مکانی و مخاطبین می‌شود.

واتس‌اپ صریحاً گفتن می‌کند که به طور معمول برای اهداف نظارتی، گزارش‌های این که چه فردی به چه فردی مطلب می‌دهد یا تماس می‌گیرد را نگه نمی‌دارد و نمی‌تواند موقعیت‌های دقیق به اشتراک گذاشته شده در چت‌های رمزنگاری شده را ببیند. با این حال، ابرداده‌هایی که جمع‌آوری خواهد شد می‌توانند زیاد افشاگرانه باشند. بعد، آیا هنگامی شرکت مادر آن Meta به علت کسب درآمد از داده‌ها شناخته شده، واتس‌اپ برای منفعت گیری امن است؟ اینجا جایی است که همه چیز مبهم می‌شود.

به‌روزرسانی سیاست حریم خصوصی سال ۲۰۲۱ واتس‌اپ تلاش کرد کاربران را ناچار به اشتراک‌گذاری داده‌های بیشتری با اکوسیستم گسترده‌تر Meta برای تبلیغات و مطلب‌رسانی تجاری کند. این عمل با عکس العمل سریع روبرو شد و میلیون‌ها کاربر به پلتفرم‌های متمرکز بر حریم خصوصی همانند Signal و Telegram مهاجرت کردند. حتی امروز، واتس‌اپ داده‌ها را با Meta برای اهداف عملیاتی به اشتراک می‌گذارد که شامل همگام‌سازی با خدمات Facebook است. این مربوط به محتوای مطلب شما نیست، بلکه در رابطه عرصه مکالمات شما است و در اقتصاد داده، عرصه طلاست. خط بین امنیت و حریم خصوصی باریک است و واتس‌اپ زیاد تر آن را مبهم می‌کند.

نظارت دولت های غربی روی واتساپ

نگرانی بزرگ دیگر، نظارت دولتی است و این نگرانی کاملاً به‌جاست. سوال این که آیا واتس‌اپ از چشم‌های کنجکاو آژانس‌های غریی دولتی امن است، یک سوال تئوری نیست، بلکه واقعی و پیچیده است. واتس‌اپ با افتخار از تشکیل درهای پشتی برای دولت‌ها امتناع کرده است. در واقع در برخی موارد، حتی در برابر خواست‌های قانونی مقاومت کرده است. اما یک تله وجود دارد. واتس‌اپ نمی‌تواند مطلب‌های رمزنگاری‌شده شما را بخواند، اما می‌تواند و ابرداده‌ها را با مقامات به اشتراک می‌گذارد.

تنها در سال ۲۰۲۴، متا در جواب به بیشتر از ۷۸ درصد از خواست‌های اجرای قانون مربوط به واتس‌اپ، داده‌ها را آشکار کرد. علاوه بر این، هنگامی که داده‌ها در ابر پشتیبان‌گیری خواهد شد، به طور بالقوه از طریق احضاریه‌ها یا دسترسی مستقیم قابل دسترسی می باشند. تا وقتی که کاربران به طور خاص پشتیبان‌گیری رمزنگاری شده را فعال نکنند، آن داده‌ها می‌توانند به راحتی در اختیار قرار بگیرند. بعد آیا واتس‌اپ برای منفعت گیری در محیط‌هایی که حساسیت سیاسی یا نظارت بیشتر از حد یک عامل مهم است، امن است؟ جواب به مدل تهدید شما بستگی دارد، اما برای تعداد بسیاری، خطرات زیاد بالا می باشند.

اگرچه رمزنگاری سرتاسری حفاظت‌هایی را اراعه می‌دهد، اما دسترسی دولت های غربی به ابرداده‌ها، فشارهای قانونی علیه رمزنگاری و بدافزارهای جاسوسی قوی به این معنی است که واتس‌اپ در برابر نظارت دولتی قاطع، ایمنی محدودی فراهم می‌کند.

آیا واتس‌اپ برای ارسال عکس‌های خصوصی و فایل‌های حساس امن است؟

به این سوال باید با صراحت جواب داد. بله، مطلب‌ها و رسانه‌ها در میانه انتقال رمزنگاری سرتاسری دارند. این به این معنی است که فقط شما و گیرنده باید بتوانید آن‌ها را ببینید. اما اینجا یک مسئله وجود دارد. هنگامی فایل به تلفن می‌رسد، رمزنگاری به آخر می‌رسد. عکس در گالری دستگاه ذخیره می‌شود و زیاد تر به طور خودکار این اتفاق می‌افتد. اما از آن لحظه، این فایل در برابر بدافزار یا بدافزار جاسوسی روی دستگاه گیرنده، پشتیبان‌گیری‌های ابری، اشتراک‌گذاری اتفاقی و اسکرین‌شات‌ها صدمه‌پذیر است.

واتس‌اپ این چنین فایل‌های رسانه‌ای را فشرده می‌کند که بعضی اوقات اوقات کیفیت را افت می‌دهد. مهم‌تر از همه، این فرآیند زمان‌هایی برای نشت ابرداده‌ها تشکیل می‌کند؛ این که فایل چه وقتی گرفته شده، برچسب‌های موقعیت جغرافیایی و اطلاعات دستگاه. این پلتفرم یک حالت اختیاری به نام «مشاهده یکبار» را اراعه می‌دهد که عکس‌ها یا ویدیوها را بعد از یک بار مشاهده حذف می‌کند، اما حتی این نیز کامل نیست. اسکرین‌شات یا عکس گرفتن با دستگاه‌های دیگر هم چنان مقدور است. در نتیجه، اگرچه به علت رمزنگاری سرتاسری در میانه انتقال، واتس‌اپ امن‌تر از ارسال از طریق ایمیل یا پیامک رمزنگاری‌نشده است، اما خطرات متعدد در نقاط پایانی، از طریق پشتیبان‌گیری‌ها و عمل های گیرنده به این معنی است که این ابزار یک خزانه امن نیست. برای رسانه‌های واقعاً محرمانه، به اختصاصی اسناد حساس تجاری یا عکس‌های خصوصی، اتکا به واتس‌اپ یک ریسک قابل دقت است.

چه باید کرد؟

کارشناسان حریم خصوصی، محققان امنیتی و روزنامه‌نگاران در سراسر جهان به دلایل زیاد موجهی از پلتفرم‌های مهم همانند واتس‌اپ فاصله گرفته‌اند. جانشین های قابل مطمعن علاوه بر تلگرام، Signal که با حریم خصوصی در هسته خود ساخته شده است و از همان پروتکل Signal منفعت گیری می‌کند، اما بدون هیچ‌گونه بار شرکتی. این برنامه ابرداده‌ها را ذخیره نمی‌کند، تبلیغات اراعه نمی‌دهد و ثبت نمی‌کند که با چه فردی سخن بگویید می‌کنید و زیاد تر مورد منفعت گیری افشاگران، فعالان و حتی دولت‌ها است.

نرم افزار Threema که در سوئیس مستقر است و یکی از معدود برنامه‌های مطلب‌رسان است که به شماره تلفن نیاز ندارد و ناشناس بودن را ضمانت می‌کند. این برنامه همه چیز را رمزنگاری می‌کند و داده‌ها را فقط روی دستگاه شما ذخیره می‌کند. برای ارتباطات تجاری، اسناد حقوقی، اسکن کارت شناسایی، قراردادها یا اطلاعات کیف پول دیجیتال، Atomic Mail فقط یک جانشین امن‌تر نیست، بلکه گزینه بهتری است

واتساپ برای چه افرادی مناسب نیست؟

در نهایت، ایمنی واتس‌اپ یک قضیه پیچیده است که نیاز به فهمیدن نقاط قوت و ضعف آن در یک عرصه گسترده‌تر دارد. اگرچه واتس‌اپ سطح قابل توجهی از محافظت را برای محتوای ارتباطات از طریق رمزنگاری سرتاسری پیش‌فکر خود فراهم می‌کند، اما این ویژگی به تنهایی پلتفرم را از همه تهدیدات یا نقض حریم خصوصی کاملاً امن نمی‌سازد.

اگر شما یک کاربر عادی هستید که به راحتی اهمیت می‌دهید و هیچ چیز حساسی را تبادل نمی‌کنید، واتس‌اپ امکان پذیر به قدر کافی امن باشد. اما اگر سیاستمدار، فرد نظامی، بنیانگذار، روزنامه‌نگار، وکیل یا فقط فردی هستید که به حریم خصوصی دیجیتال واقعی اهمیت می‌دهید، بهتر است از واتساپ فاصله بگیرید.