هل مجموعات WhatsApp Group عرضة للتجسس على الرغم من التشفير الكامل؟

اتضح أن التشفير الشامل هو أحد أفضل الاستراتيجيات التي تستخدمها WhatsApp للاحتفاظ بمستخدميها الحاليين. كان هذا في ذلك الوقت ، أدرك الناس أن محادثاتهم ليست خاصة ولكنها تخضع لمراقبة جماعية.

كان الجميع يبحثون عن تطبيقات المراسلة الفورية الأخرى التي وفرت لهم مكانًا آمنًا لإجراء محادثات خاصة. ونتيجة لذلك ، بدأ مستخدمو WhatsApp في الانزلاق إلى تطبيقات المراسلة الفورية الأخرى بحثًا عن الخصوصية.

لمواكبة السباق ضد تطبيقات مثل Google Allo و Telegram و Signal التي تضمن الاتصال الرقمي الآمن ، قدم WhatsApp تشفيرًا كاملاً مثل نظرائه.

ما هو التشفير التام؟ إليك ما يقوله WhatsApp:

مقتطف من صفحة الأمان لموقع WhatsApp على الويب

عندما قدم WhatsApp التشفير الشامل ، قام بعمل مهم في ضمان الأمن والخصوصية. كان مستخدموه سعداء بحقيقة أن محادثاتهم أصبحت في النهاية خاصة ولا تخضع للتجسس والتنصت غير المصرح به.

التطبيق يحظى بشعبية خاصة بين مجموعات الأصدقاء والعائلة وزملاء العمل والطلاب. وكان WhatsApp هو الخيار الأول لإجراء محادثات جماعية لمعظم الناس.

عمل التشفير الشامل على WhatsApp بشكل جيد تمامًا للمحادثات الخاصة بين شخصين وللمجموعات كان أكثر مرحًا.

لذا ، بالنسبة للعائلات ، كان ذلك يعني أن صورهم آمنة.

بالنسبة للأصدقاء ، هذا يعني أن النكات الداخلية الخاصة بهم بقيت في الداخل ، ما لم يكن بالطبع إذا شارك أحدهم لقطات الشاشة.

بالنسبة للطلاب ، كان ذلك يعني مشاركة واجبات منزلية آمنة ومناقشات خاصة حول العمل الجماعي التعاوني.

ومع ذلك ، كشفت الأبحاث عن وجود خلل أمني هائل في التشفير الشامل لإعدادات الدردشة الجماعية.

وفقًا لدراسة حديثة أجراها Rösler و Mainka و Schwenk ، هناك فجوة كبيرة في أمان WhatsApp للمحادثات الجماعية. قام فريق المبرمجين بتصميم نموذج أمان كان قادرًا على تحديد الثغرة الأمنية في طبقة أمان WhatsApp.

يعتمد تشفير WhatsApp من طرف إلى طرف على بروتوكول الإشارة ، الذي صممه Open Whisper Systems. ونتيجة لذلك ، يحدث التشفير الشامل عبر طبقة التطبيق التي تحمي محتوى الرسائل في محادثة جماعية.

ومع ذلك ، تحدث تغييرات على المجموعة عبر طبقة النقل.

هذا يعني أن المعلومات المتعلقة بالتغييرات التي تطرأ على المجموعة مثل إضافة عضو جديد أو إزالة عضو موجود ، ليست مشفرة من طرف إلى طرف.

الباب الخلفي السري

على WhatsApp ، لا يمكن إجراء تعديلات على المجموعة إلا من قبل مسؤولي المجموعة. يتم إرسال رسائل تعديل المجموعة التي تم إنشاؤها بواسطة المسؤولين إلى الخادم عبر طبقة النقل. نظرًا لأنه لا يوجد تشفير من طرف إلى طرف على طبقة النقل ، فهو بمثابة باب خلفي سري.

وبالتالي ، يشير الباحثون إلى أن أي شخص لديه حق الوصول إلى الخادم مثل الموظفين أو المسؤولين الحكوميين يمكنه إضافة أعضاء جدد إلى مجموعة خاصة دون إذن من أعضاء الإدارة.

عند الإضافة ، جاسوس سري تمت إضافته من طرف الخادم ، يمكنه الوصول إلى المفاتيح التي يشاركها هاتف كل عضو في المجموعة ويمكنه الآن قراءة جميع الرسائل التي تم فك تشفيرها.

ما هي المفاتيح؟

"يعتمد التشفير الشامل على توليد مفاتيح أمان فريدة باستخدام بروتوكول الإشارات المشهود الذي طوره Open Whisper Systems. يتم تبادل المفاتيح بين المستخدمين لضمان أن الاتصالات آمنة من اعتراض الوسطاء ". - الحارس

ما هو أسوأ؟ يمكن لـ Spy / Eavesdropper تسجيل جميع الرسائل الجارية والمستقبلية في المجموعة.

استجابة WhatsApp:

في محادثة هاتفية مع Wired ، أكد WhatsApp أن ما سبق كان صحيحًا ولكن فقط في حالة نادرة تم اختراق خادمهم.

وذكر WhatsApp أيضًا أن لديهم إجراءات أمان إضافية مطبقة بالفعل إذا حدث ما سبق.

قام أليكس ستاموس ، رئيس الأمن في فيسبوك بالتغريد:

هذا يعني في الحالات النادرة أنه تم اختراق خوادمهم ، أو أضاف شخص من الداخل متسللاً أو جاسوسًا غير معروف. لا يمكن أن تمر دون أن يلاحظها أحد لأن WhatsApp ينبه كل عضو في المجموعة من خلال ميزة الإخطار الفوري حول أحدث إضافة.

الإخطارات في WhatsApp (المصدر: Matthew Green، Cryptography Engineering)

لحسن الحظ بالنسبة لنا ، فإن الإشعارات في مكانها الصحيح. ومع ذلك ، في مجموعات تضم ما يصل إلى مائة عضو والعديد من المسؤولين ، يمكن أن تستمر دون أن يلاحظها أحد ما لم تتم مراقبة المجموعة باستمرار.

يجادل الباحثون أيضًا في إمكانية تأجيل الاكتشاف.

يمكن للمهاجم الذي يتحكم في خادم WhatsApp الوصول إلى المحادثة الجارية ويمكنه استخدام الخادم لحظر الرسائل في المجموعة بشكل انتقائي لإخطار الأعضاء بالمشارك الجديد.

رد WhatsApp على هذا قائلا أن خطأ دعوة المجموعة هو مجرد "نظري" ولا يتأهل في إطار برنامج مكافآت الأخطاء. كما تدعي أن متخصصيها في الأمن يقومون باستمرار باختبار البرنامج لمثل هذه العيوب ، كما يقول Wired.

الحد الأدنى

يحتوي WhatsApp الموجود حاليًا على Facebook على ملايين الخوادم الموجودة في مراكز البيانات في جميع أنحاء العالم. في الواقع ، لا يكون الهجوم بهذا الحجم كبيرًا إلا عندما تنخفض خوادم متعددة عبر مواقع جغرافية مختلفة ، في نفس الوقت. هذا ممكن فقط من الناحية النظرية. علاوة على ذلك ، ليس من السهل تجاوز عمليات الفحص الأمني ​​المعقدة التي دمجها خبراء الأمان في Facebook.

من حيث مخاوف الخصوصية والمراقبة الجماعية ، من المعروف بالفعل أن WhatsApp يتوافق مع وكالات إنفاذ القانون عند الطلب.

"تقدر WhatsApp العمل الذي تقوم به وكالات إنفاذ القانون للحفاظ على سلامة الناس حول العالم. نحن نراجع طلبات التحقق من صحة القانون ونتحقق منها ونستجيب لها بناءً على القانون والسياسات المعمول بها ، ونعطي الأولوية للاستجابات لطلبات الطوارئ ". - ال WhatsApp

في مقال في مجلة Forbes بقلم توماس بروستر ، درس المؤلف ملفات المحكمة والحالات التي زود فيها WhatsApp معلومات لوكالات تطبيق القانون. وجد أن WhatsApp قدم بيانات وصفية وأحيانًا بيانات مباشرة اعتمادًا على طبيعة الحالة على الرغم من التشفير الشامل.

تحتوي البيانات الوصفية على جزء كبير من البيانات مثل معلومات جهات الاتصال والموقع الذي اختار المستخدمون توفيره لتطبيق WhatsApp.

ومع ذلك ، قال مسؤولو التطبيق لصحيفة الجارديان:

"WhatsApp لا يمنح الحكومات" باب خلفي "في أنظمتها وسيحارب أي طلب حكومي لإنشاء باب خلفي."

لذلك ، من الواضح أنه على الرغم من امتثال WhatsApp مع وكالات إنفاذ القانون ، إلا أنه لا يسمح بشكل مباشر للجواسيس المجهولين بالاستفادة من الدردشات الجماعية في WhatsApp.