باگ امنیتی جدید سرورهای واتساپ باعث ورود هکرها به گروههای چت خصوصی و مشاهده پیامها یا عضویت و دستکاری پنهانی آنها میشود
گروهی از تیم تحقیقاتی رمزنگاری دانشگاه Ruhr آلمان باگی در اپلیکیشن پیامرسان واتساپ پیدا کردند که امنیت ارتباط انتها به انتهای رمزشده چتهای گروهی را به خطر میاندازد.
اپلیکیشن واتساپ به عنوان پیامرسانی امن و رمزنگاری شده معرفی شده و بسیاری از کاربران براساس این مزیت و ویژگی، به سوی آن کشانده شدند و اکنون این باگ امنیتی میتواند مزیت اصلی واتساپ را تحت تاثیر قرار دهد.
تیم دانشگاهی و تحقیقاتی مذکور طی مقالهای به بررسی این آسیبپذیری واتساپ پرداختند و مدعی هستند افراد و کارکنانی که سرورهای این پیامرسان را مدیریت و کنترل میکنند؛ میتوانند به طور مخفیانه وارد گروههای چت شوند و خودشان یا فرد دیگری را به عضویت گروهها درآورند.
باگ در سرورهای واتساپ
این باگ امنیتی به هکر یا کارمندی که به سرورهای واتساپ دسترسی و کنترل دارد یا میتواند امنیت لایه انتقال شبکه را بشکند، اجازه تسلط کامل بر گروههای چت را میدهد؛ بهطوریکه میتواند فردی را عضو گروه کند، پیامهای گروه را خوانده و پاک کند یا برخی پیامها را برای برخی اعضا حذف کند و به دست برخی دیگر از اعضا برساند. همچنین؛ میتواند به راحتی پیامهای گروهها را ردگیری و بایگانی کند.
بنابراین؛ این مشکل به وجود میآید که میتوان پیامها هر گروه را خواند و تصمیمگیری کرد که کدام پیام به دست اعضای گروه برسد و کدام پیام حذف شود یا برای افراد خاصی ارسال شود. این دسترسی به طور کامل امنیت گروههای چت واتساپ را زیر سوال میبرد و سیستم رمزنگاری این پیامرسان بیاثر میشود.
در واتساپ تنها مدیران گروههای خصوصی میتوانند یک عضو جدید را به گروه اضافه کنند ولی تحقیقات اخیر نشان میدهد هر کسی که کنترل سرورهای واتساپ را داشته باشد، میتواند فرآیند احرازهویت این پیامرسان را دور زده و افرادی را به طور مخفیانه به عضویت گروههای چت خصوصی درآورد.
واتساپ: امکان ندارد
تا کنون، مدیران واتساپ وجود این باگ و ضعف امنیتی را نپذیرفتهاند و توسعهدهندهگان این پیامرسان نتایج تحقیقات جدید را رد کردند.
سخنگوی واتساپ که زیرمجموعه شرکت فیسبوک است، تایید کرده است که شاید در سرورهای واتساپ باگ امنیتی و آسیبپذیری وجود داشته باشد ولی امکان عضو کردن افراد جدید، ردگیری پیامها و حذف آنها برای برخی اعضای گروههای چت خصوصی را رد کرده است.
سخنگوی واتساپ به سایت وایرد میگوید:
«ما به دقت این موضوع را بررسی کردیم. وقتی فرد جدید عضو گروه میشود؛ سایر اعضای گروه از این موضوع مطلع میشوند. ما قابلیت گروهی پیامرسان واتساپ را طوری ساختیم تا امکان ارسال یک پیام خصوصی برای فرد خاصی از گروه وجود نداشته باشد. امنیت واتساپ و کاربران برای ما اهمیت بسیار بالایی دارد. به همین دلیل، اطلاعات بسیار کمی از کاربران یا گروهها جمعآوری میکنیم و تمام پیامهای ارسال شده در واتساپ رمزنگاری میشوند.»
محققان قبول دارند که استفاده از این باگ امنیتی مستلزم دسترسی کامل به سرورهای واتساپ و به دست گرفتن کنترل کامل آنها است. در نتیجه؛ شاید خیلی بعید باشد که فرد یا افرادی از این باک سوءاستفاده کنند ولی راه را برای نفوذ دیگران باز میکند.
مسئله این است: عضویت مخفی در گروهها
Moxie Marlinspike موسس سیستم Open Whisper Systems که رمزنگاری انتها به انتها را برای پیامرسانهای واتساپ و سیگنال طراحی و توسعه داده است نیز ادعای محققان دانشگاه Ruhr آلمان را رد میکند و اعتقاد دارد، هر عضو جدیدی در یک گروه توسط دیگر اعضا دیده میشود و متوجه عضویت آن خواهند شد. در حقیقت، هیچ راهی برای عدم نمایش پیام عضویت گروه برای دیگران وجود ندارد.
به هر حال، بحث بر سر عضویت مخفی یک فرد در گروههای چت خصوصی میان توسعهدهندهگان واتساپ و تیم تحقیقاتی مذکور ادامه دارد و هریک نظرات و دلایل کارشناسی خود را دارند. چیزی که مشخص است؛ وجود باگی در سرورهای واتساپ میتواند به نقضی بزرگ تبدیل شود که یک ناشناس پیامهای گروههای چت خصوصی را مشاهده و ردگیری کند؛ حالا اینکه بتواند به عضویت این گروهها درآید یا خیر هنوز محل مناقشه است!