چون این روزها خیلی اطلاعات غلط و نگرانی‌ها در مورد واتس‌اپ زیاد شده، یه توضیح مختصری در مورد امنیت واتس‌اپ بدم.

خلاصه‌اش اینه که برای کاربر هیچ مشکلی نداره؛ پیام‌ها کاملا امن تبادل میشن و واتس‌اپ به محتوای تبادل شده دسترسی نداره!

واتس‌اپ برای تمام پیام‌های متنی و چندرسانه‌ای در چت‌های خصوصی و گروه‌ها و برای تمام تماس‌های صوتی و تصویری از رمزنگاری E2E استفاده می‌کنه، پروتکل رمزنگاری هم امن‌ترین روش حال حاضر هست که شرکت سیگنال طراحی کرده؛ در واقع واتس‌اپ از Signal Protocol برای E2EE استفاده میکنه.

رمزنگاری E2E تضمین میکنه که اطلاعات تحت هیچ شرایطی برای پلتفرم یا هر واسط دیگری قابل شنود نیست و تنها گیرندگان امکان رمزگشایی پیام‌ها رو دارن.
پروتکل سیگنال از ترکیب الگوریتم‌های رمزنگاری کلید عمومی، رمزنگاری متقارن و مکانیزم‌ Double Ratchet استفاده میکنه.

پیام‌های ارسالی/دریافتی بدون رمزنگاری روی دستگاه کاربر ذخیره میشن اما در محل امن حافظه داخلی نگهداری میشن که از دید اپلیکیشن‌های دیگه مخفیه.
تا اینجای کار همه‌چی اوکیه و برنامه سیگنال هم (به عنوان امن‌ترین پیامرسان فعلی) دقیقا همین روش‌ها رو استفاده میکنه.

اما مشکل دولت امریکا و برخی دیگر از دولت‌ها با واتس‌اپ چی بوده که به عنوان پیامرسان پر ریسک برای استفاده توسط کارمندان دولت و نهادهای امنیتی معرفی شده در حالی که این مشکل رو با سیگنال ندارن؟
همه چیز بر میگرده به متادیتا و نسخه‌های پشتیبان.

اولین امتیاز منفی واتس‌اپ، به اشتراک گذاشتن متادیتای کاربر با سرورهای شرکت متا هست. اینکه واتس‌اپ لیست مخاطبین کاربر رو ذخیره و نگهداری میکنه و مهمتر اینکه شماره تلفن کاربر رو به مخاطبین نشون میده، درحالی که سیگنال از این اطلاعات حفاظت میکنه و هیچ دیتایی رو نگهداری نمیکنه.

اینجا این نگرانی به وجود میاد که متا میتونه بفهمه چه کسانی به هم پیام میدن، اما به هیچ عنوان به محتوای پیام دسترسی نداره. در اپ سیگنال اما سرورها حتی به شماره تلفن فرستنده و گیرنده هم دسترسی ندارن، چه برسه به لیست مخاطبین.

نکته منفی بعدی اینه که واتس‌اپ نسخه پشتیبان رو بدون رمزنگاری نگهداری میکنه، این کار باعث میشه هم دیتا روی دستگاه کاربر خطرپذیر بشه و هم کلاد ذخیره کننده مثل گوگل‌درایو یا خود سرورهای متا، به دیتا دسترسی داشته باشن، در حالی که اپ سیگنال بکاپ رو رمزنگاری میکنه.

البته متا از ۲۰۲۱، بعد از فشارهایی که متحمل شد امکان رمزنگاری بکاپ رو به اپلیکیشن واتس‌اپ اضافه کرده ولی همچنان به صورت پیش‌فرض خاموشه و کاربر باید خودش بره و رمزنگاری بکاپ رو فعال کنه، که خب معمولا کسی انجام نمیده و این میشه یه حفره امنیتی.

اینم بگم که تلگرام کلا مدل امنیتش فرق داره. به صورت پیش‌فرض E2EE نداره و این رمزنگاری فقط در سکرت‌چت‌های تلگرام، تماس‌های امن و پیام‌های خودتخریب اعمال میشه. در واقع بر خلاف واتس‌اپ و سیگنال، سرورهای تلگرام به تمام محتوای چت‌های خصوصی کاربر، گروه‌ها و ربات‌ها دسترسی دارن.

در پایان بگم این صحبت که واتس‌اپ امن نیست و پیامرسان بومی امنه، از اساس مسخره‌اس. ما اصلا هیچ پیامرسان بومی نداریم که E2EE داشته باشه که بخواد راجع به امنیت حرفی داشته باشه. امنیت زیرساخت‌ها هم که مشخصه، هر روز یکی هک میشه.
برای کاربر عادی هم واتس‌اپ امنه، هم تلگرام.

اگه نگران امنیتتون هستید حتما رمزنگاری بکاپ واتس‌اپ رو فعال کنید، ولی همچنان دفترچه تلفن و شماره خودتون داره با متا به اشتراک گذاشته میشه.
اگه بازم نگران هستید امن‌ترین برنامه فعلی اپلیکیشن سیگنال هست، که این اطلاعات رو هم جمع‌آوری نمیکنه.

© vahidfarid

🔍 ircf.space
@ircfspace