پاول دورف: "چند ماه پیش در مورد در پشتی واتس اپ نوشتم که به هکرها امکان دسترسی به همه داده ها در هر تلفن واتس اپ را می دهد. فیسبوک ، شرکت مادر واتس اپ، در آن زمان ادعا کرد که هیچ مدرکی مبنی بر استفاده از این نقص توسط مهاجمان وجود ندارد.
هفته گذشته مشخص شد که با استفاده از این در پشتی برای استخراج ارتباطات خصوصی و عکس های از جف بزوس که متأسفانه به واتس اپ اعتماد کرده است، مورد سوء استفاده قرار گرفته است. از آنجا که به نظر می رسید این حمله از یک دولت خارجی سرچشمه گرفته است، به احتمال زیاد تعداد بیشماری از رهبران تجارت و رهبران دولت هدف قرار گرفته اند.
در پستی که در ماه نوامبر منتشر کردم، پیش بینی کردم این اتفاق خواهد افتاد. سازمان ملل متحد اکنون به مقامات خود توصیه می کند واتس اپ را از دستگاه های خود حذف کند، در حالی که به افراد نزدیک به دونالد ترامپ توصیه شده است که تلفن های همراه خود را تغییر دهند.
با توجه به شدت این وضعیت، از فیسبوک / واتس اپ انتظار می رفت که عذرخواهی کند و متعهد شود که در برنامه های خود اقدام به کاشت در پشتی نکند. درعوض ، آنها اعلام كردند كه اپل مقصر است نه واتس اپ. معاون رئیس فیسبوک ادعا کرد که iOS، به جای واتس اپ هک شده است.
اگر وبلاگ من را دنبال می کنید، می دانید که من کاملا طرفدار اپل نیستم. دستگاه های iOS مسائل مرتبط با حفظ حریم خصوصی دارند. اما این یکی از آنها نبود، به دو دلیل:
1- آسیب پذیری "ویدیوی فاسد" واتس اپ نه تنها در iOS ، بلکه در دستگاه های Android و حتی Windows Phone وجود داشت. یعنی در همه دستگاه های تلفن همراه با واتس اپ نصب شده است.
2- این تقصیر امنیتی در سایر برنامه های پیام رسانی در iOS وجود نداشت. اگر جف بزوس به جای واتس اپ به تلگرام تکیه می کرد، توسط افرادی که ارتباطات وی را به خطر می انداختند مورد سرزنش قرار نمی گرفت.
در نتیجه، موضوع بطور خاص درمورد iOS نبود بلکه واتس اپ بود.
واتس اپ در بازاریابی خود از کلمات "رمزگذاری end-to-end" به عنوان بخشی از جنجال جادویی استفاده می کند که قرار است به تنهایی همه ارتباطات را ایمن کند. با این حال، این فناوری یک گلوله نقره ای نیست که به تنهایی می تواند حریم شخصی شما را تضمین کند.
تلگرام رمزگذاری end-to-end برای ارتباطات جمعی را سالها قبل از واتس اپ دنبال کرد، و ما نه تنها به نقاط قوت بلکه محدودیت های این فناوری نیز توجه داشته ایم. سایر جنبه های برنامه پیام رسانی می تواند رمزگذاری end-to-end را بی فایده جلوه دهد. در زیر سه نمونه از مواردی که می تواند به اشتباه انجام شود آورده شده است.
اول، وجود پشتبان گیری. کاربران نمی خواهند چت های خودشان را هنگام تعویض دستگاه از دست بدهند، بنابراین در سرویس هایی مانند iCloud نسخه های پشتیبان تهیه می کنند؛ غالبا بدون این که نسخه پشتیبان تهیه شوه رمزگذاری شوند. واقعیت این است که اپل توسط FBI مجبور شده است برنامه رمزگذاری iCloud را رها کند. این یکی از دلایلی است که تلگرام هرگز به پشتیبان گیری "ابر شخص ثالث" اعتماد نمی کند و چت های مخفی هرگز در هیچ کجا پشتیبان گیری نمی شوند.
دوم، وجود درهای پشتی. سازمانهای اجرایی از رمزگذاری چندان راضی نیستند، برنامه نویسان مجبور شدند بطور مخفیانه آسیب پذیری ها را در برنامه های خود بکارند. من این را می دانم، زیرا ما به بعضی از آنها نزدیک شده ایم و از همکاری امتناع ورزیدیم. در نتیجه، تلگرام در بعضی از کشورها مسدود است درحالی که واتس اپ هیچ مشکلی با مقامات ندارد، به طور مشکوک در روسیه و ایران.
درهای پشتی معمولاً به عنوان نقص امنیتی "تصادفی" استتار می شوند. تنها در سال گذشته، 12 عیب از این دست در واتس اپ یافت شده است.هفت مورد از آنها بسیار مهم بودند؛ مانند موردی که جف بزوس گرفتار آن شد. برخی ممکن است به شما بگویند واتس اپ علی رغم داشتن 7 در پشتی در 12 ماه گذشته هنوز "بسیار ایمن" است، اما این از نظر آماری غیرممکن است. تلگرام، برنامه ای که صدها میلیون نفر از جمله روسای ایالت ها و شرکت های بزرگ مورد استفاده قرار گرفته است، در 6 سال گذشته هیچ مسئله ای یه این شدت نداشته است.
سوم ، وجود نقص هایی در اجرای رمزگذاری. چگونه کسی می تواند اطمینان داشته باشد که رمزگذاری که واتس اپ ادعا می کند همان چیزی است که در برنامه خود پیاده سازی کرده است؟ سورس کد آنها پنهان است و باینری های برنامه دچار مشکل می شوند و تجزیه و تحلیل آنها دشوار است. در مقابل، برنامه های تلگرام از سال 2013 دارای سورس باز بوده و رمزگذاری آن کاملاً مستند شده است. تلگرام از ساختهای قابل تأیید هم برای iOS و هم برای اندروید پشتیبانی می کند؛ به این معنی که هرکسی می تواند اطمینان حاصل کند که سورس کد در GitHub و برنامه تلگرام که بارگیری می کنید همان موارد هستند. هیچ برنامه پیام رسانی دیگری برای هر دو سیستم عامل موبایل این کار را انجام نمی دهد و ممکن است شخص فقط تعجب کند که چرا؟
به خودتان اجازه ندهید که از فریبکار معادل فناوری جادوگران سیرک استفاده کنید که دوست دارند هنگام اجرای ترفندهای خود در جای دیگر، توجه شما را به جنبه ایزوله متمرکز کنند. آنها می خواهند شما راجع به رمزگذاری end-to-end به عنوان تنها چیزی که باید در حفظ حریم خصوصی به دنبال آن باشید فکر کنید. واقعیت بسیار پیچیده تر است.
برخی می توانند بگویند، من به عنوان بنیانگذار یک اپلیکیشن رقیب، ممکن است هنگام انتقاد از واتس اپ معتصب باشم. البته که من هستم. البته که من فکر می کنم چت های مخفی تلگرام به طور قابل توجهی ایمن تر از هر وسیله ارتباط رقابتی است؛ چرا که من در حال توسعه و استفاده از تلگرام هستم.
با این حال، اظهارات موجود در این پست براساس حقایق است و نه ترجیح شخصی. و درست مانند کد برنامه های تلگرام این حقایق قابل تأیید هستند و توسط منابع شخص ثالث زیر نیز پشتیبانی می شوند. وقتی امنیت به میان می آید، هیچ کس نباید حرف هر کسی را قبول کند."
[1] Techspot: Hackers can use a WhatsApp flaw in the way it handles video to take control of your phone – November 19, 2019
[2] ZDNet: Attackers using WhatsApp MP4 video files vulnerability can remotely execute code – November 18, 2019
[3] Popular Mechanics: How Jeff Bezos Got Hacked on WhatsApp—and How It Could Happen to You – January 26, 2020
[4] Forbes: If Jeff Bezos’ iPhone Can Be Hacked Over WhatsApp, So Can Yours – January 22, 2020
[5] Pavel Durov: A New Backdoor Was Quietly Found In WhatsApp – November 20, 2019
[6] Reuters: U.N. says officials barred from using WhatsApp since June 2019 over security – January 23, 2020
[7] CNN: UN expert recommends Kushner change his phone after suspected Saudi hack – January 23, 2020
[8] Gizmodo: Facebook Gives Unintelligible Response to Jeff Bezos Hack, Deciding to Blame iOS – January 26, 2020
[9] Pavel Durov: iCloud Is Now Officially a Surveillance Tool – January 21, 2020
[10] Jeff Bezos: No thank you, Mr. Pecker – February 7, 2020
[11] BBC Radio 4: We're as sure as you can be that the technology of end-to-end encryption cannot be hacked into: Facebook’s Nick Clegg – January 24, 2020
[12] Reuters: Apple dropped plan for encrypting backups after FBI complained – January 21, 2020
[13] (a) The Verge: Russia orders immediate block of Telegram messaging app – April 13, 2018
(b) New York Times: Russian Court Bans Telegram App After 18 Minute Hearing – April 13, 2018
[14] Business Insider: WhatsApp disclosed 12 security flaws last year, including 7 classified as 'critical,' after Jeff Bezos phone was reportedly hacked – January 28, 2020
[15] Telegram: Verifiable Builds, New Theme Editor, Send When Online and So Much More – December 31, 2019
