واتس‌اپ در مدیریت گروه‌های پیام‌رسانی امنیت رمزنگاری ندارد

محققان دانشگاه King's College لندن در تحقیقات جدید خود کشف کرده‌اند که واتس‌اپ هیچ مکانیزم رمزنگاری شده‌ای برای مدیریت عضویت گروه‌ها فراهم نکرده است. این ضعف به معنای آن است که یک کاربر داخلی، یا حتی یک هکر با دسترسی به زیرساخت‌های واتس‌اپ، می‌تواند بدون اجازه، افراد جدیدی را به یک گروه پیام‌رسانی اضافه کند.

نویسنده : مریم ناظم پور

کد خبر : 971693

اشتراک گذاری

در واتس‌اپ، افزودن یک عضو جدید به گروه به این صورت انجام می‌شود؛ یکی از اعضای گروه یک پیام بدون امضای رمزنگاری شده به سرور واتس‌اپ می‌فرستد که در آن اعلام می‌کند چه کسانی باید به گروه اضافه شوند (مثلاً آلیس، باب و چارلی). سرور این تغییر را به تمامی اعضای گروه اطلاع می‌دهد و اعضای موجود تصمیم می‌گیرند که آیا پیام‌های این افراد را بپذیرند یا نپذیرند.

با این حال، چون این پیام از سوی سرور ارسال می‌شود و هیچ امضای رمزنگاری وجود ندارد، هر کسی که بتواند کنترل سرور یا جریان داده‌ها را در دست بگیرد، قادر است افراد جدیدی را بدون اجازه وارد گروه کند.

این موضوع در گروه‌های عمومی مثل گروه والدین فوتبال کودکان اهمیت چندانی ندارد، اما در گروه‌های حساس مانند گروه‌های دولتی یا نظامی، این امر می‌تواند منجر به نشت اطلاعات بسیار حساس شود.

واتس‌اپ تنها برنامه‌ای نیست که این مشکل را دارد. در سال 2022، همین تیم تحقیقاتی نشان داد که پلتفرم Matrix (پلتفرم متن‌باز چت) هم این قابلیت رمزنگاری شده را برای گروه‌ها فراهم نکرده است. همچنین تلگرام هیچ نوع رمزنگاری پایان-به-پایان برای گروه‌ها فراهم نکرده است و بنابراین امنیت بسیار پایینی دارد.

در مقابل، برنامه Signal از «مدیریت گروه رمزنگاری شده» پشتیبانی می‌کند. arstechnica در گزارشی نوشت: در این سیستم فقط ادمین گروه می‌تواند افراد جدیدی را اضافه کند و این اقدام با یک امضای دیجیتال انجام می‌شود که توسط سایر اعضای گروه تأیید می‌شود. همچنین، اطلاعات عضویت گروه به گونه‌ای ذخیره می‌شود که سرور نمی‌تواند هویت اعضای گروه را ببیند.

این یافته یادآوری می‌کند که حتی برنامه‌هایی که خود را «امن» معرفی می‌کنند، ممکن است نقاط ضعف پنهانی داشته باشند. برای انتقال اطلاعات بسیار حساس، استفاده از برنامه‌هایی مانند Signal که سطح بالاتری از مدیریت گروه رمزنگاری شده را فراهم می‌کنند، توصیه می‌شود.

واتس‌اپ در پاسخ به این یافته‌ها پاسخ داد: ما یافته‌های تحقیقاتی این تیم را مرور کرده‌ایم و از کار آنها قدردانی می‌کنیم. ما واتس‌اپ را با هدف ارائه پیام‌رسانی ساده، قابل اعتماد و خصوصی برای میلیاردها نفر طراحی کرده‌ایم. در تمامی گروه‌ها، کاربران زمانی که یک عضو جدید وارد می‌شود مطلع می‌شوند و همچنین می‌توانند اعلان‌های امنیتی را فعال کنند تا در صورت تغییر کدهای امنیتی مطلع شوند. همواره در حال افزودن لایه‌های جدیدی از حفاظت هستیم.

این یافته در حالی منتشر شده که چند هفته قبل بحث‌های گسترده‌ای درباره اضافه شدن یک خبرنگار به یک گروه پیام‌رسانی میان مقامات ارشد کاخ سفید رخ داد. در آن حادثه، مایک والتز، مشاور امنیت ملی وقت آمریکا به اشتباه جفری گلدبرگ، سردبیر نشریه The Atlantic، را به گروهی از مسئولان نظامی اضافه کرد — گروهی که در حال بحث درباره یک عملیات نظامی بودند.

اما طبق یافته‌های جدید، این موضوع می‌توانست بسیار بدتر هم باشد. در صورتی که یک هکر یا یک کارمند داخلی دسترسی به سرور واتس‌اپ را داشته باشد، می‌تواند به راحتی افراد غیرمجاز را به گروه‌های حساس اضافه کند و بدون آنکه سایر اعضای گروه متوجه شوند، پیام‌های محرمانه را بخواند.

انتهای پیام/