أضاف تطبيق واتساب طبقة تشفيرٍ شاملة بين طرفيّ الاتصال، لكل محادثات مستخدميه قبل سنتين من الآن، وبالتالي رفع هذا التطبيق الرائج مستوى حمايته لخصوصية الاتصالات الرقمية حول العالم بشكلٍ ملحوظ. ولكن، لطالما كان ضمان وصول محادثة محمية إلى الجمهور الخاص بها وليس إلى متطفلٍ أو محتال، العنصر الأصعب من عناصر التشفير، لا سيما في محادثات المجموعات. ووفقًا لبحوث جديدة يجريها علماء تشفير ألمان، تسهّل عيوب أمنية في واتساب عملية التسلل إلى محادثات المجموعات.
في مؤتمر “ريل وورلد كريبتو” الأمني الذي سيعقد يوم الأربعاء في زوريخ، سويسرا، ينوي فريق من الباحثين من جامعة رور بوخوم Ruhr University Bochum في ألمانيا عرض سلسلة من العيوب في تطبيقات المراسلة المشفّرة مثل واتساب Whatsappوسيغنال Signal وثريما Threema. وبرأي هذا الفريق، تقوّض نتائج بحوثه بدرجات متفاوتة مزاعم هذه التطبيقات بأن محادثات المجموعات آمنة.
ولكن في حين أن العيوب في تطبيقي سيغنال وثريما غير مؤذية نسبيًا، تمكن الباحثون من اكتشاف ثغرات أكبر وأهم في أمن تطبيق واتساب: يقول هؤلاء أن أي شخص يتحكّم بخوادم واتساب قادر من دون عناء إدخال أشخاص جدد إلى مجموعة يفترض أن تكون خاصة، حتى من دون الحصول على إذن من المدير الذي يفترض أنه يتحكم بمن يدخل إلى المحادثة.
التنصت من خلال السيطرة على خوادم واتساب يحصر إمكانية التجسس بهذه الطريقة بالمخترقين المخضرمين أو موظفي شركة واتساب أو الحكومات التي قد تجبر شركة واتساب على منحها إمكانية الوصول إلى الخوادم. ولكن فرضية أن ما يسمى التشفير الشامل بين جهتي الاتصال يحافظ على سرّية رسائلكم على الدوام حتى لو تعرّضت الخوادم للاختراق سقطت، فيجب أن يكون الناس المشاركين في حديث هم وحدهم المخوّلون قراءة رسائل واتساب وليس الخوادم نفسها.
ماثيو غرين Matthew Green، استاذ علم التشفير في جامعة جون هوبكينز John Hopkins University، الذي راجع عمل الباحثين من جامعة رور Ruhr University أشار قائلاً:”في حال قمتم ببناء نظام يقوم بالكامل على الوثوق بالخوادم، الحريّ بكم أن تنسفوا كل هذا التعقيد وأن تنسوا أمر التشفير الشامل“. وأضاف: “هذا فشل ذريع! ولا مبرر لذلك.”
تهديد جماعي
وأشار الباحثون الألمان أن هذا الهجوم على واتساب هذا، يستغل خطأ برمجيّ بسيط. وحده مدير المجموعة على واتساب قادر على دعوة أعضاء جددـ ولكن التطبيق لا يستعين بأي آلية تحقق خاصة بتلك الدعوات لا يمكن لخوادمها محاكاتها. لذا يستطيع الخادم إضافة عضو جديد إلى المجموعة من دون أي تفاعل من جهة المدير وحينها يشرع هاتف كل مشارك في المجموعة تلقائيًا بمشاركة المفاتيح السرّية مع ذاك العضو الجديد، مما يمنحه أو يمنحها القدرة على الوصول إلى أي رسائل في المستقبل. (فك تشفير الرسائل المرسلة قبل دعوة غير قانونية غير ممكن لحسن الحظ.)
يستطيع جميع أعضاء المجموعة رؤية رسالة تشير إلى انضمام شخص جديد، يبدو أنه مدعو من قبل المدير ولكن من دون معرفته. وفي حال كان المدير يراقب عن كثب سيحذر أعضاء المجموعة الشرعيين بشأن المتطفل ورسالة الدعوة المخادعة.
ولكن الباحثين والاستاذ غرين أشاروا إلى خدع متعددة يمكن استخدامها لتأخير عملية الرصد. فما أن يصبح للمهاجم المسيطر على خادم الواتساب إمكانية الوصول إلى الحديث، يمكنه أيضًا استخدام الخادم لحجب أي رسالة يريدها في المجموعة، بما في ذلك تلك التي يرد فيها أسئلة أو تحذيرات بشأن الداخل الجديد إلى المجموعة.
عندها يمكن للمخترق تخزين كل الرسائل ومن ثم اختيار تلك التي يرغب بحجبها وتلك التي لا يدعها تمرّ. وفي مجموعات واتساب التي يتولى إدارتها أكثر من مدير واحد، يمكن للخادم المختطف أن يحاكي رسائل مختلفة لكل مدير، بحيث يبدو وكأن المتنصت مدعو من قبل مدير آخر، فلا أحد يقرع حينها جرس الإنذار. ومن الممكن أن يمنع المخترق أي مدير من إزالة المتنصت من المجموعة في حال اكتشاف وجوده.