اختراق واتساب.. لماذا لا يجب أن تستأمن هذا التطبيق على أسرارك؟
كُبر تطبيق "واتس آب" (WhatsApp)، الطفل الذي انضمّ لعائلة فيسبوك قبل خمسة أعوام تقريبا، وأصبح قادرا على حمل المسؤولية عن كاهل شركته الأُم -فيسبوك- التي عانت خلال السنوات الماضية من فضائح لا حصر لها على صعيد خصوصية المُستخدم، فتطبيق المحادثات الفورية الأكبر على مستوى العالم اكتُشفت فيه ثغرة تُتيح بمكالمة واحدة اختراق بيانات المُستخدم دون حتى أن يدري، مُظهرة بذلك قصورا أمنيا رهيبا ما زال الجميع يتجاهله حتى اللحظة(1).
نشرت صحيفة "فاينانشال تايمز" (The Financial Times) تقريرا دون سابق إنذار تحدّثت فيه عن وجود ثغرة أمنية في تطبيق "واتس آب"، التطبيق الذي يستخدمه أكثر من 1.5 مليار شخص حول العالم، تُتيح للمُخترق سرقة بيانات المُستخدمين دون علمهم، ودون ترك أي أثر، وهي ثغرة عالجتها الشركة مُباشرة على خوادمها أولا، وعلى تطبيقاتها المتوفّرة لهواتف آيفون، وللأجهزة العاملة بنظام أندرويد.
تم العثور على الثغرة في بروتوكول نقل البيانات، المعروف اختصارا بـ (SRTCP)، في الحزمة البرمجية الخاصّة بإجراء الاتصالات عبر شبكة الإنترنت، (VOIP)، وهذا بعد اكتشاف محاولة فاشلة لاختراق أحد النُّشطاء في مجال حقوق الإنسان بتاريخ 12 مايو/أيار، لتبدأ التحرّيات فورا لفهم آلية عمل هذه الثغرة.
|
بكل بساطة يقوم المُخترق بالاتصال بضحيّته عبر "واتس آب" كأنها مُكالمة عاديّة، لكنه يقوم في الوقت ذاته، بسبب الثغرة، بإرسال أكواد برمجية خبيثة تقوم بتنفيذ بعض المهام عن بُعد، وهذا دون أن يحتاج الضحيّة أساسا إلى الرد على تلك المُكالمة، فبُمجرّد الاتصال يُمكن استغلال الثغرة وإرسال تلك الأكواد التي ستقوم بنسخ رسائل المُستخدم، الصور الموجودة على هاتفه، بالإضافة إلى أي بيانات أُخرى. والأهم مما سبق، هو إمكانية حذف المُكالمة من سجل المُكالمات، لكي لا يشعر الضحيّة بوجود أي شيء.
وتجدر الإشارة إلى أن عملية الاختراق ينتج عنها إمكانية تشغيل الكاميرا والمايكروفون دون علم صاحب الجهاز أيضا، ليتحوّل الهاتف الذكي بذلك، وبواسطة "واتس آب" فقط، إلى قُنبلة موقوتة للتجسّس على المُستخدمين دون علمهم.
إلى جانب إغلاق جزء من الثغرة على خوادم "واتس آب"، فإن المُستخدمين بحاجة إلى تحديث التطبيق بشكل فوري، فعلى نظام أندرويد، يُمكن إصابة أي جهاز يستخدم إصدارات أقدم من 2.19.134، أو أقدم من 2.19.44 بالنسبة لتطبيق "واتس آب" للشركات (WhatsApp Business). أما مُستخدمو هواتف آيفون، فهم بحاجة إلى استخدام النسخة 2.19.51 وما بعدها. وبالمثل، يحتاج مُستخدمو "ويندوز فون" إلى استخدام النسخة 2.18.348 وما بعدها، أو النسخة 2.18.15 وما بعدها بالنسبة لمُستخدمي نظام "تايزن" (Tizen)(2).
لم تثبت التُّهم على أحد حتى اللحظة. لكنّ الباحثين الأمنيين أكّدوا أن الأكواد البرمجية المُستخدمة في هذه العملية تُشابه كثيرا تلك التي تستخدمها شركة "إن إس أو" (NSO)، ومقرّها الكيان الصهيوني، الشركة المسؤولة عن تطوير أداة "بيغاسوس" (Pegasus) التي ساعدت ثُلّة من الأنظمة العربية على استهداف واختراق أجهزة بعض الناشطين في مجال حقوق الإنسان، وهذا عبر إرسال روابط خبيثة تقوم باختراق هاتف المُستخدم ما أن يضغط عليها.
حصل تطبيق "تيليغرام" (Telegram) على ملايين المُستخدمين مع كل توقّف مُفاجئ أصاب "واتس آب"(3)، فهو على أرض الواقع يُقدّم مجموعة كبيرة من المزايا التي تجعله نِدًّا حقيقيا، إلا أن سيطرة "مارك زوكربيرغ" ومُنتجاته حالت دون تصدّره للمشهد. هذا يُفسّر خروج مؤسّس "تيليغرام"، "بافيل دوروف" (Pavel Durov)، بتدوينة رسمية عقب ثغرة "واتس آب" الأخيرة يشرح فيها الأسباب التي تحول دون كون "واتس آب" تطبيقا آمنا للمحادثات الفورية.
على صعيد الثغرات الأمنية، فإن تاريخ "واتس آب" أسود سواء تحت مظلّة فيسبوك أو خارجها، فالتطبيق في بداياته على سبيل المثال كان يُرسل الرسائل بين المُستخدمين دون تشفيرها أبدا، وهذا يعني أن أي شخص مُتّصل على شبكة الإنترنت نفسها كان قادرا على قراءة الرسائل، ويعني أيضا أن الهيئات الحكومية كانت قادرة على قراءة جميع رسائل المُستخدمين دون أي قيود(4).
وبعد أن قرّرت الشركة استخدام التشفير بشكل جُزئي، تركت مفاتيح التشفير مُتاحة للهيئات الحكومية التي كانت قادرة على استخراج أمر رسمي من المحكمة بكل سهولة لفك تشفير رسائل أي مُستخدم دون عمله حتى، وهو ما حتّم على الشركة الانتقال لاستخدام التشفير الكامل (End-to-End Encryption) الذي يُخزّن مفاتيح التشفير على أجهزة المُرسل والمُستقبل فقط، إلا أن هذه المحاولة لم تفِ بالغرض أيضا لأن الباحثين الأمنيين عثروا على ثغرة تُتيح إصدار مفاتيح تشفير جديدة واستبدال تلك الموجودة على أجهزة المُستخدمين دون علمهم(5).
|
وإضافة إلى ما سبق، بخصوص التشفير الكامل، أتاحت الشركة إمكانية تخزين المحادثات على السحاب، لكنها نسيت أن تُخبر المُستخدمين أن أخذ النسخة الاحتياطية من الرسائل على السحاب يعني أنها لن تكون مُشفّرة(6)، وبالتالي أي ثغرة أمنية قد ينتج عنها تسريب تلك الرسائل لتكون ظاهرة للجميع، دون نسيان إمكانية لجوء الجهات الرسمية لطلب أرشيف رسائل المُستخدم الموجود على السحاب لتكون خصوصيّته من جديد مُجرّد لعبة كلمات برعت فيها فيسبوك لفترة طويلة من الزمن.
ثغرات أُخرى عُثر عليها في مجموعة من خدمات فيسبوك كانت مسؤولة عن تسريب بعض بيانات الرسائل التي يتبادلها المُستخدمون، على الأقل الأشخاص الذين تُرسل الرسائل إليهم ووقت الرسالة. كما أن عام 2018 شهد ثغرة في مُكالمات الفيديو تُشبه الثغرة المُكتشفة مؤخّرا من ناحية آلية العمل(7)، لتكون مسيرة "واتس آب" خلال عقد من الزمن مليئة بالتسريبات والفضائح.
وما يزيد الطين بلّة هو خروج مؤسّسي التطبيق من فيسبوك لأسباب لم يعلنوا عنها صراحة، إلا أن خصوصية المُستخدمين هي السبب الرئيسي بنسبة كبيرة جدا، خصوصا بعدما خرج "كريس هيوز" (Chris Hughes)، زميل "زوكربيرغ" في الجامعة وشريكه في تأسيس فيسبوك، وأكّد ضرورة السيطرة على فيسبوك بسبب مُمارساتها اللا منطقية(8).
لا تكمن قوّة "تيليغرام" فقط في براعة مُهندسيه، بل في كونه مفتوح المصدر، أي إن شيفرته البرمجية متوفّرة للجميع ويُمكن لأي شخص الاطّلاع عليها والعثور على الثغرات الأمنية للتبليغ عنها أولا بأول، عكس "واتس آب" الذي لا يُمكن قراءة شيفرته المصدرية ومعرفة آلية عمله بشكل كامل، وهذا قد يكون لحماية الأبواب الخلفية التي تتركها الشركة للحكومات، أو لعدم رغبتها في مُشاركة التقنيات التي تقوم بتطويرها لتبقى متفوّقة على الجميع.
لكن "دوروف"، مؤسّس "تيليغرام"، طرح بعض الأسئلة التي ما زالت تحتاج إلى إجابات منطقية خصوصا بعد استحواذ فيسبوك على "واتس آب"، الشبكة التي أثبتت الأشهر الأخيرة أنها لا تحترم خصوصيّة المُستخدمين وستسعى دائما لبيع بياناتهم لكسب المزيد والتوسّع بشكل أكبر.
طلب مكتب التحقيقات الفيدرالي (FBI) بشكل مُباشر من فريق عمل "تيليغرام" توفير أبواب خلفية لقراءة رسائل المُستخدمين، وهذا خلال وجودهم لفترة لم تتجاوز الأسبوع(9)، وهذا يُظهر جديّة تلك الجهات التي تبسط نفوذها في البلد نفسه الذي يوجد فيه فيسبوك. ولو أخذنا إيران وروسيا كمثال آخر على دول لا تحترم حريّة التعبير، فإن تطبيق "واتس آب" ما زال يعمل فيها دون أي قيود، في وقت حظرت فيه الحكومات هناك استخدام "تيليغرام" بشكل كامل بسبب تقنيات التشفير الموجودة فيه، وهذا قد يعني أن "واتس آب" تركت بالفعل أبوابا خلفية على هيئة ثغرات أمنية لا علم لها بها لإرضاء جميع الجهات.
"تيليغرام" ليس الخيار الأوحد، فتطبيق "سيغنال" (Signal) يوفّر تقنيات تشفير عالية جدا. لكن الأول أثبت أنه قادر على تقديم وابتكار مزايا جديدة طوال الوقت مع الحفاظ على التشفير كجزء أساسي في نواة التطبيق، ولهذا السبب يُنظر له على أنه البديل الأقوى لتطبيق "واتس آب" الذي لا يوجد منافس له في الوقت الراهن لأسباب عديدة أهمّها استخدامه من قِبل شريحة كبيرة جدا من المُستخدمين على مستوى العالم.
من ناحية المنطق، فإن فيسبوك لم تكن في يوم من الأيام شركة تُعنى بخصوصية المُستخدمين، على الأقل هذا ما أظهرته الثغرات والفضائح الأخيرة من جهة، وبعض العاملين داخل الشركة من جهة أُخرى(10)، وهو ما يُرجّح إمكانية ذهاب تطبيقات مثل "إنستغرام" و"واتس آب" في الاتجاه نفسه. وفي ظل ترنّح فيسبوك بسبب الفضائح المُتلاحقة، قد يكون السقوط جماعيا، أو قد ينجح دهاء "زوكربيرغ" الإعلامي في تقديم الشبكة الاجتماعية بحلة جديدة لدفن الماضي الذي قد يعود من جديد ويُطارد جميع خدمات فيسبوك ويدفنها وهي حيّة دون عودة.