سجاد سروش
سجاد سروش
خواندن ۷ دقیقه·۶ سال پیش

چرا واتسپ هرگز امن نخواهد بود؟!

به نظر میرسه که دنیا با خبر تبدیل شدن هر گوشی همراه به ابزار جاسوسی توسط واتسپ شوکه شده بود. هر چیزی روی گوشی همراه شما، شامل عکسها، ایمیلها و همینطور پیامها توسط مهاجمین و هکرها قابل دسترس بود، تنها به این دلیل که واتسپ روی گوشی شما نصب بود.

البته اگرچه این اخبار من رو سورپرایز نمیکرد. سال پیش واتسپ مجبور بود به مساله ای مشابه اقرار کنه - یک تماس ویدیویی همه ی چیزی بود که یک هکر برای دسترسی به تمام اطلاعات روی تلفن همراه شما لازم داشت.

هر بار که واتسپ یک مشکل بحرانی رو توی اپش برطرف میکنه به نظر میرسه یه مشکل دیگه جاشو پر میکنه. همه مشکلات امنیتی اونها نیازمند نظارت و مراقبت و کار بسیار زیادی هستند.

برخلاف تلگرام، واتسپ یک نرم افزار متن باز نیست. بنابراین هیچ راهی نیست که محققان امنیت بتونند به راحتی وجود درهای مخفی در برنامه رو چک کنند. اونها دقیقا کار برعکسی رو میکنند: واتسپ عمدا فایلهای باینری اپش رو مخفی میکنه که مطمئن بشه که هیچکس نمیتونه کدش رو به طور کامل مطالعه کنه.

واتسپ و شرکت پدرش فیسبوک، ممکنه مجبور باشند که درهای مخفی ای رو پیاده سازی کنن - به دلیل پروسه های محرمانه مثل دستورات پلیس فدرال. اجرا کردن یک اپلیکیشن ارتباطی امن از ایالات متحده کار آسونی نیست. در خلال دو هفته ای که در سال ۲۰۱۶ به همراه تیممون توی ایالات متحده گذروندیم شاهد سه تلاش نفوذ از سمت پلیس فدرال بودیم. تصور کنید که ۱۰ سال در اون محیط میتونه چی به سر یه شرکت بنیان شده در آمریکا بیاره!

من متوجه این هستم که سازمان های امنیتی کاشتن درپشتی رو برای تلاش های ضدترورشون توجیه میکنن. مساله این هست که این نوع درهای پشتی میتونه همچنین توسط جنایتکاران و دولت های مستبد استفاده بشه. تعجبی نداره که به نظر میرسه بعضی از دولتها واتسپ رو ترجیح میدند. فقدان امنیت واتسپ به اونا اجازه میده که روی مردم خودشون نظارت کنن. بنابراین واتسپ در کشورهایی مثل روسیه به آزاد بودن خودش ادامه میده.

در حقیقت من کار روی تلگرام رو به عنوان یک پاسخ مستقیم به فشار شخصی از سمت دولت روسیه شروع کردم. اون موقع در سال ۲۰۱۲، واتسپ هنوز داشت پیامها به صورت متن واضح منتقل میکرد. این دیوونه کننده بود! نه تنها دولت ها و هکر ها، بلکه حتی تولید کننده های موبایل و همچنین ادمین های وایفای به همه ی پیامهای واتسپ دسترسی داشتند.

بعدا واتسپ مقداری رمزگذاری اضافه کرد، که به زودی مشخص شد که یک کار بازاریابی هست: کلید رمزگشایی پیامها حداقل برای چندین دولت در دسترس بود، از جمله روس ها. بعد زمانی که تلگرام شروع به محبوب شدن کرد بنیان گذاران واتسپ شرکتشون رو به فیسبوک فروختند و اظهار کردند «حریم خصوصی توی دی ان ای اونها بوده». اگه درست بوده باشه احتمالا اون یه ژن خاموش یا یه ژن غوطه ور بوده.

۳ سال پیش واتسپ اظهار کرد که اونها رمزگذاری کاربر به کاربر رو پیاده سازی کردند، بنابراین «هیچ شخص ثالثی نمیتونه به پیامها دسترسی پیدا کنه». این همزمان شد با هجوم پرفشار همه کاربرهاش برای پشتیبان گیری از چتهاشون بر روی ابر. در هنگامی که کاربران این کارو میکردند، واتسپ بهشون نگفت که بعد از پشتیبان گیری، پیامها دیگه با رمزگذاری کاربر به کاربر محافظت نمیشن و میتونن توسط هکرها و مجریان قانون قابل دسترس باشند. نتیجه ش؟ بازاریابی درخشان، و همچنین تعدادی از مردم ساده که زمانشون رو باید در زندانها سر میکردند.

افراد معمولی که برای گیر نکردن در پاپ آپ های دائمی واتسپ که بهشون میگفت بک آپ بگیرید هنوز هم میتونند با تعدادی ترفند ردیابی بشن - از دسترسی به مخاطبینشون و همینطور تغییرات نامرئی کلید رمزگذاری. داده های تولید شده توسط لاگ های کاربران واتسپ که توصیف میکنه کی با کیا و چه زمانی چت کرده، به انواع مختلف سازمانها در ابعاد وسیعی، توسط شرکت مادر واتسپ نشت کرده. و دربالای اون، شما مخلوطی از آسیب پذیریهای بحرانی که پشت سر هم پدیدار میشن رو دارید.

واتسپ تاریخ استواری داره - از درجه رمزگذاری صفر به عنوان شروعش تا جانشینی مشکلات امنیتی مشکوک به مناسب بودن برای اهداف نظارتی. با نگاه به عقب، حتی یک روز هم در سفر ۱۰ ساله واتسپ نبوده که این سرویس امن بوده باشه. به همین دلیل هست که من فکر نمیکنم که تنها آپدیت کردن اپلیکیشن موبایل واتسپ اونو برای همه ایمن میکنه. برای اینکه واتسپ بخواد به سمت یک سرویس امنیت محور پیش بره، باید از دست دادن همه ی بازارش و همینطور درگیرشدن با مسئولین در کشور خانگیش رو ریسک کنه. به نظر نمیرسه که اونا برای این آماده باشن.

سال گذشته بنیانگذاران واتسپ شرکت رو به دلیل نگرانی برای حریم شخصی کاربرانشون رها کردند. اونها قطعا در قید مسئولیت هایی برای فاش نکردن اسرار توسط تیمشون هستند، بنابراین قادر نیستند که عموما راجع به درهای پشتی موجود بحث کنند. اونها قادر بودند که این رو بپذیرند، به هر حال، اینکه «اونها حریم شخصی کاربراشون رو فروختند».

من میتونم بی میلی بنیانگذاران واتسپ برای دادن جزییات بیشتر رو درک کنم - ساده نیست که آسودگیت رو ریسک کنی. چند سال پیش من مجبور بودم که کشورم رو ترک کنم بعد از اینکه پیشنهاد دولت رو برای نقض حریم خصوصی کاربرای VK رد کردم. این خوشایند نبود. اما آیا حاضرم کاری شبیه این رو دوباره انجام بدم؟ خوشبختانه، همه ما قراره که بالاخره بمیریم، اما به عنوان گونه هایی مدتی در این اطراف خواهیم بود. برای همین هست که من فکر میکنم جمع کردن ثروت، شهرت یا قدرت غیرضروری هست. خدمت به بشریت تنها چیزی هست که در دراز مدت واقعا اهمیت داره.

و هنوز با وجود نیت هامون، من حس میکنم ما اجازه میدیم که انسانیت در نرم افزار جاسوسی واتسپ از بین بره. تعداد زیادی از مردم نمیتونن استفاده از واتسپ رو متوقف کنن، چرا که دوستان و خونواده هاشون هنوز ازش استفاده میکنن. این به این معنی هست که ما توی تلگرام کارمون رو توی متقاعد کردن مردم به عوض کردن پیامرسانشون خوب انجام ندادیم. در حالیکه ما در پنج سال گذشته صدها میلیون کاربر رو جذب کردیم، این کافی نبوده. اکثریت کاربران اینترنت هنوز گروگان امپراتوری فیسبوک/واتسپ/اینستاگرم هستند. تعداد زیادی از کسانی که از تلگرام استفاده میکنند هم هنوز واتسپ دارند، به این معنی که تلفن همراهشون هنوز آسیب پذیر خواهد بود. حتی کسایی که واتسپ رو کاملا دفن کردند احتمالا هنوز از فیسبوک یا اینستاگرم استفاده میکنند، دو نرم افزاری که فکر میکنند مشکلی نیست که پسوردهاتون به صورت متن خام ذخیره کنند (من هنوز نمیتونم اینکه یک شرکت تکنولوژی بتونه چنین کاری انجام بده و باهاش کنار بیاد رو باور کنم).

در زندگی ۶ ساله خودش، تلگرام هنوز نشتی داده بزرگی یا آسیب های امنیتی ای از نوعی که واتسپ هر چند ماه بروز میده، نداشته. در همین ۶ سال، ما دقیقا صفر بایت داده به اشخاص ثالث افشا کردیم، در حالیکه فیسبوک/واتسپ در حال اشتراک گذاری تقریبا همه چیز با هرکسی که اظهار کرده که با یک دولتی کار میکرده بوده.

تعداد کمی از افراد خارج از جامعه طرفداران تلگرام درک میکنند که اکثر ویژگیهای جدید در حوزه پیامرسانی اول روی تلگرام پدیدار میشند، و بعدش توسط واتسپ در ریزترین جزییاتشون کپی میشند. اخیرا ما شاهد تلاش فیسبوک برای قرض گرفتن تمام فلسفه تلگرام با اظهارات ناگهانی زاکربرگ در سخنرانی F8 اش در مورد اهمیت حریم شخصی و سرعت هستیم، عملا و کلمه به کلمه نقل قول توضیحات اپلیکیشن تلگرام.

اما نالیدن از دورویی فیسبوک و کمبود خلاقیتش کمکی نمیکنه. ما باید اقرار کنیم که فیسبوک در حال اجرای یک استراتژی کارامد هست. نگاه کنید که اونا با اسنپ چت چیکار کردند.

ما در تلگرام باید مسئولیتمون رو در شکل دادن آینده اذعان کنیم. یا ما خواهیم بود یا مونوپولی(انحصار) فیسبوک. یا آزادی و حریم خصوصی خواهد بود و یا طمع و دورویی. تیم ما حداقل ۱۳ سال در حال رقابت با فیسبوک هست. ما تا الان یک بار اونها رو شکست دادیم، در بازار شبکه اجتماعی اروپای شرقی. ما دوباره اونها رو در بازار پیامرسانی جهانی شکست خواهیم داد. باید این کارو بکنیم.

آسون نخواهد بود. دپارتمان بازاریابی فیسبوک عظیم هست. درحالی که ما در تلگرام بازاریابی صفر رو داریم. ما نمیخوایم به نویسنده ها و محقق ها پول بدیم که به دنیا راجع به تلگرام بگن. برای این کار ما به شما تکیه میکنیم - به میلیون ها کاربرمون. اگه شما تلگرام رو به اندازه کافی دوست داشته باشید، راجع بهش به دوستاتون میگید. و اگه هر کاربر تلگرام سه تا از دوستانشو متقاعد کنه که واتسپ رو پاک کنه و دائما به تلگرام منتقل بشه، تلگرام به سرعت از واتسپ محبوب تر میشه. دوره ی طمع و دورویی به پایان میرسه. یک دوره آزادی و حریم شخصی شروع میشه. این خیلی نزدیک تر از چیزیه که به نظر میرسه.



نقل مطلبی که پاول دوروف دیشب توی کانال رسمیش منتشر کرد و گفت:

من دوست ندارم روی مسابقه دهنده ها تمرکز کنم، اما ازونجایی که مردم به سوال پرسیدن از من راجع به واتساپ ادامه میدن، من این پست رو نوشتم. این شامل افکار من راجع به اونها میشه. همینطور افکارم راجع به خودمون. لذت ببرید.
https://telegra.ph/Why-WhatsApp-Will-Never-Be-Secure-05-15



ممنون که وقت گذاشتید و خوندید. خوشحال میشم نظرتون رو بدونم و اینکه حرفای پاول رو فراموش نکنیم و به دوستامون بگیم.

تلگرامامنیتحریم شخصیپیامرسان
نگو نمی تونم، نمیشه باید بشه... باید بتونی!
شاید از این پست‌ها خوشتان بیاید