اخبار فناوری اطلاعات
شکاف امنیتی در واتساَپ و چگونگی برطرف کردن آن
جمعه ۱۳ ژانویه همیشه روزی است که افراد خرافاتی به دنبال پیدا کردن اتفاقات نحسی مثل رد شدن یک گربه سیاه از مسیر آنها یا شکستن آینه هستند. با این حال در برخی موارد خبر بد در این روز میتواند نحسی این روز را به طور اتفاقی ثابت کند.
حال در این روز، marks یکی از اعضای روزنامه گاردین داستان شکست و جاسوسی در پیام های رمزنگاری شده واتس اَپ را مطرح کرد.
روزنامه گاردین در گزارشی اختصاصی نوشته است “ادعاهای فیسبوک، مالک اصلی واتساَپ، مبنی بر اینکه نفوذ به پیامهای کاربران در این اپلیکیشن حتی برای این کمپانی و کارمندانش هم ناممکن است» کاملا اشتباه است. اما علت اصلی این نقص، ضعف پروتکل رمزگذاری واتساَپ است که به گفته متخصصان امنیت میتواند «تهدیدی عظیم برای آزادی بیان» باشد.
محققان و تحلیلگران امنیتی در صحبتی با گاردین بیان کرده اند که واتساَپ، امنیت و رمزنگاری عمومی خود را به عنوان مهمترین ویژگی این اپلیکیشن مطرح کرده و به همین خاطر بسیاری از فعالان، روزنامهنگاران و دیپلماتها برای در امان ماندن از جاسوسی و تهدیدهای جاری سایبری به آن پناه بردهاند، اما حالا با کشف در پشتی (backdoor) شاید وقت تجدید نظر رسیده باشد.
واتساَپ برای رمزنگاری از پروتکلی به نام «سیگنال» استفاده میکند که این ویژگی امکان نفوذ به پیامها از سوی کسی را که در میانه فرستنده و گیرنده قرار گرفته، از بین میبرد. اما حالا کاشف به عمل آمده است که واتساَپ میتواند با اعمال کلیدهای رمزنگاری دیگری برای کاربران آفلاین، که هم برای فرستنده و هم گیرنده ناشناختهاند، فرستنده را وادار به ارسال مجدد و در نتیجه رمزنگاری مجدد همه پیامهایی کند که ارسالشان با موفقیت انجام نشده است. با این شیوه امکان رویت پیامها و نظارت بر آنها دستکم برای سازندگان واتساَپ (و کمپانی مالک آن فیسبوک) میسر خواهد بود.
این تغییرات در رمزنگاری به اطلاع گیرنده نمیرسد و فرستنده هم تنها در صورتی پی به موضوع خواهد برد که در تنظیمات «هشدارهای رمزنگاری» این امکان را فعال کرده باشد. حتی این هم پس از ارسال مجدد پیامها انجام خواهد شد؛ یعنی زمانی که جاسوسی به طور کامل انجام شده است و کار از کار گذشته باشد.
پروفسور کریستی بیل، بنیانگذار مرکز تحقیقات حریم خصوصی و جاسوسی، میگوید: “چنین ضعفی در امنیت واتساَپ، معدن طلایی برای آژانسهای اطلاعاتی و امنیتی است”.
در حالیکه مناقشاتی اطراف این ماجرا وجود دارد، اما آیا این یک نقص محسوب میشود یا یک ویژگی؟ واقعیت چین است که این موضوع اگرچه مهم و حیاتی است اما کاربران میتوانند آن را به دلخواه خود تنظیم کنند.
برای فعالسازی آن کاربران به انجام مراحل زیر نیاز دارند:
برای کاربران اندروید، به بخش(Account) حساب کاربری خود بروید، سپس بخش (Security) امنیت را انتخاب کرده و بر روی (Show security notifications) نمایش اطلاعیه امنیتی کلیک کنید.
برای کاربران iOS، در بخش پایین سمت راست روی آیکون چرخدنده کلیک کنید و سپس به بخش Account، Security و Show security notifications کلیک کنید.
اگر که هشدار امنیتی را طبق تصویر بالا فعال کردید و یک مکالمه حساس داشتید و مایلید تا مطمئن شوید هیچ کسی آنها را نمیخواند، بهترین راه این است که منتظر بمانید تا کاربر آنلاین شود و آن را تایید کنید و رمزنگاری end-to-end را فعال کنید.
منبع: کسپرسکی آنلاین
منبع : ایتنا