ثغرة في واتساب تتيح التجسس على الرسائل المشفرة [تحديث]
بدأت واتساب بتطبيق التشفير الكامل على الرسائل النصية والصوتية منذ ابريل الماضي بحيث لايمكن لأحد الإطلاع على محتوى الرسائل حتى واتساب نفسها، لكن اكتشف أحد الباحثين الأمنيين ثغرة وباب خلفي تسمح لفيس بوك وغيرها من الجهات الحكومية الإطلاع على الرسائل بصورة علنية على الرغم من التشفير.
نشرت صحيفة الغارديان تقرير حول اكتشاف الباحث الأمني من جامعة كاليفورنيا Tobias Boelter لما يعرف بالباب الخلفي في واتساب يجعل الرسائل المشفرة معرضة للإنكشاف والاعتراض من قبل جهات طرف ثالث بما فيها فيس بوك والسلطات الحكومية.
وقال Boelter أنه إذا طلبت الوكالات الحكومية من واتساب الكشف عن رسائل أحد المستخدمين، فإنه بإمكانها الوصول إليها بفعالية بسبب التغيير في مفاتيح التشفير.
تستخدم واتساب بروتوكول Signal لتوليد مفاتيح أمنية فريدة في نظام التشفير المطبق من نوع end-to-end، وطبقت واتساب إجراءات إضافية تسمح بتوليد مفاتيح تشفير جديدة إجبارياً للمستخدمين غير المتصلين بالإنترنت، بالتالي تكون بعض الرسائل مكشوفة أمام المهاجمين.
ما أن تجبر واتساب بتطبيق مفاتيح التشفير الجديدة، فإن كل الرسائل غير المسلمة بعد للمرسل إليه يتم إعادة تشفيرها أوتوماتيكياً ويتم إعادة إرسالها مجدداً بالمفاتيح الجديدة بدون علم المرسل، وبهذه الحالة فإنه يمكن لشركة واتساب “اختطاف” مفاتيح التشفير المحدثة واستخدامها في معرفة الرسائل المشفرة.
لاحظ هنا أن الثغرة والباب الخلفي ليس في بروتوكول التشفير من Signal إنما يكمن في عدم قدرة المستخدم على منع إرسال الرسائل عندما يتم تغيير مفاتيح التشفير، بل بدلاً من ذلك تقوم واتساب تلقائياً بمعالجة الرسائل غير المسلمة وإعادة إرسالها وذلك بدون إعلام طرفي الرسالة المرسل والمرسل إليه.
في حال استخدام بروتوكول وطريقة تطبيق Signal فقط فإنه عندما يقوم أحد المستخدمين بتغيير مفاتيح التشفير وهو غير متصل بالإنترنت، فإن كل الرسائل المرسلة ستفشل في الوصول إلى وجهتها وسيتم إعلام المرسل بتغيير مفاتيح التشفير ولن يتم إعادة إرسالها أوتوماتيكياً.
وعلى الرغم من أن تطبيق واتساب يخبر المستخدم عندما يتم تغيير رموز التشفير وذلك مثلاً عندما يقوم أحد المستخدمين بتفعيل التطبيق مجدداً على رقمه وذلك من أجل مطابقتها والتأكد من أنه نفسه الشخص المقصود، لكن لايزال من غير الممكن أمام المستخدم منع الرسائل غير المسلمة من إعادة إرسالها بشكل غير محمي.
المثير للإهتمام أن الباحث الأمني أبلغ فيس بوك بهذه الثغرة والباب الخلفي في أمان واتساب منذ أبريل عندما تم تطبيق نظام التشفير الكامل، إلا أن فيس بوك أبلغته لاحقاً أن هذه ليست ثغرة انما شيء متوقع.
هذا الباحث الأمني ليس الوحيد الذي تحدث عن هذه الثغرة بل حتى حذرت منها منظمة EFF منذ اكتوبر الماضي على موقعها. ومع أن الموضوع قد يبدو خطيراً لكن يجب أن تعرف أن هذه “الثغرة” لا تكشف رسائلك للقراصنة العاديين إنما تسمح لفيس بوك أو واتساب نفسها أن تقرأ رسائلك على الرغم من التشفير، وبطبيعة الحال لو طلبت منها وكالات أمنية كالإستخبارات فإنها ستتمكن من تلبية طلبها بتسليم رسائل مستخدم معين.
ردت واتساب على تقرير صحيفة الغارديان بعدم صحة الإدعاءات المذكورة. وأضافت أن الخدمة لا تعطي الحكومات “باب خلفي” إلى أنظمتها وستكافح أية طلبات حكومية بإنشاء باب خلفي. وأوضحت أن “الثغرة” المذكورة في التقرير يمنع ملايين الرسائل من الضياع نتيجة تغيير المفاتيح السرية.
وأشارت واتساب إلى نشرها ورقة بحثية حول التفاصيل التقنية لتصميم التشفير المعتمد لديها، كما أنها كانت شفافة حول طلبات الحكومة التي تلقتها والبيانات التي تنشرها عن تلك الطلبات في تقرير شفافية فيس بوك.