نوید گل پور هستم. استارتاپر و فعال حوزه بلاکچین. اینجا درباره اخلاقیات تکنولوژی، بلاکچین و تاثیرات اونها بر دنیای پیچیده ما مطلب مینویسم.
چرا واتزاپ همیشه ناامن خواهد بود
نوشته پاوول دوورف (بنیانگذار تلگرام)
به نظر میرسه این خبر که «واتزاپ» هر دستگاه موبایل رو به یک ابزار جاسوسی تبدیل میکنه، جهان رو شوکه کرده. هرچیزی توی موبایل شماست– مثل عکسها، ایمیلها و اس ام اس ها- در دسترس هکرهاست، اون هم تنها به این دلیل ساده که شما whatsapp نصب کردین[1].
البته که این خبر من رو سورپرایز نکرد. همین پارسال بود که WhatsApp درگیر مشکل مشابهی بود. مشکلی که باعث میشد، هکر بتونه با یک تماس ویدئویی ساده به همه اطلاعات گوشی شما دسترسی پیدا کنه [2]
دقت کردین، هرزمان که WhatsApp یک آسیبپذیری رو توی نرمافزار خودش حل میکنه، یکی دیگه پیدا میشه؟ تمام مشکلات امنیتی اونها مثل «backdoor ها»، شرایط رو برای نظارت و دید زدن اطلاعات کاربران مهیا میکنه.
(اصطلاح backdoor که به معنای درپشتیه، اشاره به حفره های امنیتی ای هست که کمپانی سازنده عامدانه توی محصولش میزاره تا بتونه به اطلاعات کاربر به صورت مخفیانه دسترسی پیدا کنه. دولت آمریکا خیلی از کمپانی های آمریکایی رو مجبور میکنه این حفره ها رو توی محصولات خودشون بزارن تا دولت بتونه اطلاعات کاربران رو شنود بکنه. بخش زیادی از افشاسازی های ادوارد اسنودن مربوط به همین موضوعات بود. بد نیست بدونین که نرم افزارهای زیادی توی دنیا هستن که «متن باز» هستن. به این معنی که تمام کدهاشون رو در اختیار همه قرار میدن. به همین دلیل محققان امنیتی میتونن اونها رو بررسی کنن و مطمئن باشن که توش حفره های امنیتی – از جمله backdoor- وجود نداره.توضیحات از نوید!)
بر خلاف تلگرام، واتزاپ متن باز نیست. پس برای محققان امنیتی راهی وجود نداره تا کدهاش رو بررسی کنن تا بفهمن که واتزاپ، توی اون کدها «backdoor» گذاشته یا نه. واتزاپ، نه تنها کدهای خودش رو به صورت آزاد منتشر نمیکنه، بلکه درست بر خلاف این رفتار میکنه: اون عمداً کدهاش رو به صفر و یک های باینری تبدیل میکنه تا برای کسی امکان نداشته باشه بتونه، اونها رو مطالعه کنه.
واتزاپ و کمپانی مادرش که همون فیسبوک باشه، حتی ممکنه قانوناً مجبور باشن توی نرم افزارشون backdoor بزارن -و احتمالاً قانوناً هم اجازه ندارن چیزی در این باره فاش کنن [3]- اینکه بخوای یک مسنجرامن رو توی آمریکا مدیریت کنی،اصلاً ساده نیست. تیمما در سال ۲۰۱۶ تنها یک هفته توی آمریکا بودو FBI سه بار از ما خواست که براش توی تلگرام backdoor تعبیه کنیم. حالا تصور کنین چی میشه اگه شما ۱۰ سال توی محیط آمریکا مشغول اداره شرکتتونباشین!
آژانس های امنیتی سعی میکنن backdoor ها رو با فعالیتهای ضدتروریستی توجیه کنن. اما مشکل اینجاست که همین backdoor ها میتونن توسط مجرمین و دولت های سرکوبگر استفاده بشن. بیجهت نیست که دیکتاتورها عاشق واتزاپ هستن: یک نرمافزار ناامن، به راحتی بهشون اجازه میده تو گوشی مردم سرک بکشن و ازشون جاسوسی کنن. به همین دلیله که واتزاپ در کشورهایی مثل روسیه و ایران آزادانه استفاده میشه درحالیکه تلگرام در اون کشورها فیلتر شده!
درواقع کار کردن من روی تلگرام، پاسخ مستقیم من به فشار مسئولین کشور روسیه بود. اگه به عقب برگردیم میبینیم که در سال ۲۰۱۲ واتزاپ پیامها رو با متن ساده – بدون هیچ رمزگذاری- منتقل میکرد. این کار دیوانگی بود. با چنین ساختاری نه فقط دولتها و هکر ها، حتی سرویس دهندگان موبایل و ادمین های WiFi هم میتونستن محتوای پیامهای دیگران رو ببینن [7][8].
بعدها واتزاپ شروع به رمزنگاری پیامها کرد. اما خیلی زود معلوم شد که این رمزنگاری چندان ایمن نیست و چندین حکومت – از جمله روسیه[9]– تونستن کلیدش رو پیدا کنن. پس از اون واتزاپ کم کم محبوب ش. فیسبوک اون رو خرید و اعلام کرد که «امنیت همیشه در DNA واتزاپ بوده! [10]». تنها راهی که میتونم فکر کنم این ادعا درست باشه اینه که شاید واتزاپ یک ژن خاموش داشته!
سه سال پیش بود که واتزاپ اعلام کرد اونها یک سیستم رمزنگاری end-to-end رو پیادهسازی کردن که «دیگه هیچ نفر سومی نمیتونه به پیامها دسترسی داشته باشه». این موضوع با یک فشار به کاربران همراه شد که از چت هاشون رو روی سرورهای ابری واتزاپ بک آپ بگیرن. البته که واتزاپ به کاربرانش نگفت که اگه این چت ها روی سرورهای واتزاپ بک آپ گرفته بشه، دیگه رمزگذاری end-to-end فایدهای نداره و هکرها و البته آژانس های قانونی میتونن به راحتی به اونها دسترسی داشته باشن [11]. این یک استراتژی مارکتینگ فوقالعاده برای واتزاپ بود ولی متاسفانه برای افرادی که فریبش رو خوردن نتیجهای جز گذروندن عمرشون پشت میله های زندان نداشت![12]
حتی کاربرانی که به درخواست های مکرر واتزآپ برای اینکه بک آپ اطلاعاتشون رو روی سرور های اون قرار بدن جواب مثبتنمیدن هم از روشهای متنوعی در معرض شنودن: از دسترسی به بک آپ کانتکت ها گرفته تا تغییر مخفیانه کلید رمزنگاری[13] تا متادیتایی که توسط اونها ساخته میشد تا لاگ هایی که نشون میدنچه زمانی، کی با کی چت کرده. دادههایی که در ابعاد وسیع برای انواع آژانس هایی که با فیسبوک همکاری میکننافشا میشه.
واتزاپ تاریخچه ثابتی داره که از چت های بدون رمزنگاری شروع شده و در نهایت به مشکلات امنیتی فراوونی رسیده که به طرز عجیبی همشون برای شنود اطلاعات کاربران مناسب هستن! اگه به عقب برگردیم میبینیم که در طی ۱۰ سال اخیر حتی یک روز هم نبوده که این محصول بدون مشکل امنیتی بوده باشه. این دلیلیه که من فکر میکنم آپدیت کردن واتزاپ برای هیچکسی امنیت به ارمغان نمیاره.
اگه واتزاپ بخواد به یک سرویس حافظ حریم خصوصی تبدیل بشه، باید ریسک از دست دادن تمام بازارش و سرشاخ شدن با حکومت آمریکا رو به جون بخره و البته که به نظر نمیآد اونها آماده چنین موضع گیری پرخطری باشن[15].
سال گذشته بود که بنیانگذار واتزاپ به خاطر نگرانی هایی که درباره حریم خصوصی کاربران به وجود اومده بود، اونجا رو ترک کرد[16]. مطمئنا اونها از نظر قانونی اجازه ندارن فاش کنن که مجبورن چه backdoor هایی رو بر علیه کاربرانشون کار بزارن. چنین ریسکی میتونه به قیمت آینده و آزادیشون تموم بشه. چیزی که مطمئنیم تأیید خودشونه مبنی بر اینکه «حریم خصوصی کاربرانشون فروخته شده[17] ».
من بی خوابی های بنیانگذار واتزاپبرای اینکه بتونه جزییات بیشتری بگه رو میفهمم. اینکه آرامش خودت رو به خطر بندازی اصلاً ساده نیست. چندین سال پیش شرایط مشابهی رو به خاطر شبکه اجتماعی VK که در روسیه ساخته بودم داشتم. شرایطی که در نهایت مجبورم کرد ترک وطن رو انتخاب کنم. این کار رو کردم چون نمیخواستم در نقض حریم خصوصی کاربرانم با حکومت روسیه همکاری کنم[18]. این موضوع بسیار تلخ بود، اما آیا حاضرم دوباره چنین انتخابی بکنم؟ با کمال افتخار!
همه ما روزی میمیریم، بااینحال باید مدتی رو به عنوان یک گونه درکنارهمزندگی کنیم. این دلیلیه که من فکر میکنم پول، شهرت یا قدرت بی ارزشن و تنها چیزی که در بلند مدت ارزشمنده خدمت به بشریته.
در نهایت، با وجود این مسائل من فکر میکنم ما با استفاده از نرمافزار جاسوسی واتزاپ انسانیت رو پایین میکشیم. بسیاری از مردم استفاده از اون رو متوقف نمیکنن، چون دوستان و خانوادشون اونجا هستن. این نشون میده ما در تلگرام نتونستیم مردم رو ترغیب کنیم که مسنجرشون رو عوض کنن و به تلگرام بپیوندن. هرچند ما در پنج سال اخیر تلگرام رو به صدها میلیون کاربر رسوندیم،اما این اصلاً کافی نیست.
اکثریت کاربران اینترنت هنوز بوسیله امپراطوری «واتزاپ، فیسبوک، اینستاگرام» گروگان گرفته شدند. خیلی از اونها کسانی هستن که همزمان از تلگرام و واتزاپ استفاده میکنن و این یعنی گوشی های تلفن اونها در معرض شنوده. حتی اگه اونها استفاده از واتزاپ رو کنار بزارن احتمالاً از فیسبوک یا اینستاگرام استفاده میکنن. هردو این اپ ها فکر میکنن ذخیره کردن پسورد کاربران بدون رمزنگاری هیچ اشکالی نداره![19][20] (من هنوز باور نمیکنم یک کمپانی تکنولوژی بتونه چنین سهل انگاری عظیمی روانجام بده و اصلابراش مهم نباشه!)
در این ۶ سالی که تلگرام مشغول به فعالیته، هیچ مشکل امنیتی بزرگی نداشته - برخلاف مشکلاتی که واتزاپ هرچندماه باهاش درگیر میشه. در این ۶ سال حتی یک بایت اطلاعات تلگرام به دست احدی نیفتاده، در حالیکه فیس بوک و واتز اپ تقریباً همه چیز رو در اختیار هر کسی که ادعا کنه برای حکومت کار میکنه قرار میدن[13].
به غیر از هواداران تلگرام، افراد کمی هستن که میدونن قابلیتهای جدید مسنجرها اول توی تلگرام ظاهر میشه و بعدا عیناً توی واتزاپ کپی میشه. حتی اخیراً وقتی زاکربرگ در کنفرانس سالانه F8 به اهمیت حریم خصوصی و سرعت اشاره کرد، شاهد تلاش فیسبوک برای تقلید از کل فلسفه تلگرام بودیم، خصوصا جایی که بخش توضیحات (description) اپ تلگرام رو کلمه به کلمه نقل قول کرد!
اما غرغر کردن درباره دورویی و فقدان خلاقیت فیس بوک مشکلی رو حل نمیکنه. ما باید تصدیق کنیم که فیسبوک یک استراتژی مؤثر رو دنبال میکنه. بینین اونها با اسنپچت چیکار کردن[21].
ما در تلگرام موظفیم مسئولیتمون رو در شکل دادن آینده به انجام برسونیم.«ما» در مقابل «انحصارگرایی فیسبوک». این نبردی بین «آزادی و حریم خصوصی» و «طمع و دوروییه». تیم ما ۱۳ ساله که با فیسبوک رقابت میکنه. ما یک بار اونها رو در مارکت شبکه اجتماعی اروپایی شرقی شکست دادیم[22] و بار دیگه در مارکت جهانی مسنجر ها این کار رو تکرار میکنیم. راهی جز این نداریم.
البته که این کار اصلاً ساده نیست. دپارتمان مارکتینگ فیسبوک واقعاً بزرگه. ما در تلگرام بودجهای برای مارکتینگ نداریم. ما نمیخوایم به مجلات و محققین پول بدیم تا درباره تلگرام مطلب بنویسن. ما به شما متکی هستیم – به میلیونها کاربری که داریم. اگه شما به اندازه کافی به تلگرام علاقهمند باشین، به دوستاتون درباره اون خواهید گفت. اگه هر کاربر تلگرام بتونه۳ نفر از دوستاش رو تشویق کنه واتزاپ رو پاک کنن و به تلگرام بپیوندن، ما از واتزاپ محبوبتر خواهیم شد.
دوران طمع و دورویی به پایان میرسه و عصر آزادی و حریم خصوصی شروع خواهد شد. این از اون چیزی که به نظر میرسه نزدیکتر خواهد بود.
توضیحات نوید:
دنیایی که فیسبوک و زیرمجموعه هاش میخوان بسازن، نقطه مقابل دنیای آزادیه که دوس دارم در ساختنش سهیم باشم. فیس بوک رو که سالهاست کنار گذاشتیم، اینستا رو به خاطر تحقیقات روانشناسی ای که دیدم کنار گذاشتم و حالا با حذف واتزاپ خودم رو کاملا از سیطره این امپراطوری بیرون میکشم.
من این پرهیز رو برای رویاها و آرمان هام انتخاب میکنم، اما اصراری ندارم شما هم این کار رو بکنین. این بستگی به دنیایی داره که دوس دارین توش زندگی کنین و هزینه ای که حاضرین بابتش بدین. هر تصمیمی که میگیرین خوشحالم که این مقاله رو تا اینجا خوندین و سطح آگاهیتون رو گسترش دادین.
مسرور باشین
References
[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phones – May 15, 2019
[2] Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts – October 12, 2018
[3] Wikipedia Gag order – United States
[4] Neowin FBI asked Durov and developer for Telegram backdoor – September 19, 0271
[5] The Baffler The Crypto-Keepers – September 17, 2017
[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – May 2, 2018
[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – May 19, 2011
[8] The H Security Sniffer tool displays other people's WhatsApp messages – May 13, 2012
[9] FilePerms WhatsApp is broken, really broken – September 12, 2012
[10] International Business Times Respect for Privacy Is Coded Into WhatsApp's DNA: Founder Jan Koum – March 18, 2014
[11] Independent WhatsApp Update Brings Backups That Are Not Encrypted and So Could Allow People to Read Messages – August 28, 2018
[12] Slate How Did the FBI Access Paul Manafort’s Encrypted Messages? – June 5, 2018
[13] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – January 13, 2017
[14] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops– January 22, 2017
[15] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – November 22, 2016
[16] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – April 30, 2018
[17] CNET WhatsApp co-founder: 'I sold my users' privacy' with Facebook acquisition– September 25, 2018
[18] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – December 2, 2014
[19] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – March 21, 2019
[20] Engadget Facebook stored millions of Instagram passwords in plain text – 18 April, 2019
[21] Vanity Fair Snapchat is doing so badly, the feds are getting involved – November 14, 2018
[22] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – October 26, 2012
مطلبی دیگر از این انتشارات
«بلووک» از آغاز تا یخورده جلوتر
مطلبی دیگر از این انتشارات
مانیفست «سایفرپانک»
مطلبی دیگر از این انتشارات
آقای «بلووک» قرار ما این نبود!