کارشناسان تاکید دارند که چنین شایعاتی از اساس تایید علمی ندارند و در برخی موارد با اصول اولیه کارکرد گوشی‌ها و چارچوب‌های امنیتی رایج در سیستم‌عامل‌های موبایل نیز در تضاد هستند

در حالی که در روزهای اخیر موجی از شایعات در خصوص ناامنی پیام‌رسان واتس‌اپ به راه افتاده است و حتی برخی رسانه‌های دولتی از حذف این اپلیکیشن می‌نویسند، کارشناسان حوزه امنیت سایبری معتقدند که چنین اظهاراتی عملا با اصول فنی حاکم بر این دسته از پیام‌رسان‌ها همخوانی ندارند.

به عقیده آنها، چنین پیام‌رسان‌هایی با تعداد بی‌شمار کاربر در جهان دارای تیم‌های امنیتی متخصص هستند و بودجه و نیروی انسانی بیشتری نیز برای مقابله با تهدیدات در اختیار دارند. البته آنها تاکید می‌کنند که اگرچه واتس‌اپ برای کاربران عمومی از امنیت قابل قبولی برخوردار است، اما در حوزه‌های حساس‌تری مانند سطوح امنیتی و سیاسی بهتر است از ابزارهای تخصصی‌تری استفاده شود و نباید این قبیل پیام‌رسان‌ها را جایگزینی برای راهکارهای ارتباطی حرفه‌ای برای کاربران خاص دانست.

ادعاهایی بدون تایید علمی
در حالی که طی روزهای گذشته شایعه ناامنی واتس‌اپ شدت گرفته و دهان به دهان می‌چرخد، یک سوال اساسی ذهن بسیاری از کاربران را به خود مشغول کرده است و آن اینکه «آیا واقعا استفاده از این اپلیکیشن برای انتقال پیام، داده‌‎های آنها را در معرض خطر قرار می‌دهد یا خیر؟» برخی گفته‌ها در این خصوص حاکی از آن است که داده‌های کاربران از طریق واتس‌اپ به راحتی درز پیدا می‌کنند و این اپلیکیشن حتی می‌تواند از داده‌های مکانی افراد نیز سواستفاده کند.

این ادعاها تا آنجا بالا گرفت که در نهایت در روزهای انتهایی خرداد ماه و در بحبوحه جنگ با اسرائیل، برخی رسانه‌ها به نقل از منابع آگاه نوشتند برنامه واتس‌اپ درحال جمع‌آوری اطلاعات افراد است و آخرین مکان حضور و ارتباطات افراد را تگ‌گذاری می‌کند و مورد سواستفاد ه قرار می‌دهد و به این ترتیب از مردم خواستند برنامه‌ واتس‌اپ را از گوشی همراه خود حذف کنند.

در این راستا، غلامرضا جلالی، رئیس پدافند غیرعامل، نیز در جدیدترین اظهارنظر خود پس از جنگ ۱۲ روزه واتس‌اپ را عامل جاسوسی خواند ‌و درباره نقش تکنولوژی‌های نوین در اقدامات تروریستی علیه فرماندهان گفت: «پیام‌رسان واتس‌اپ در مکان‌یابی و ترور برخی از فرماندهان حماس نقش داشته است. مکان‌یابی شهید هنیه به همین روش انجام شد که نشان‌دهنده استفاده از ابزار‌های دیجیتال در شناسایی و هدف قرار دادن شخصیت‌های برجسته است.» وی همچنین به استفاده از هوش مصنوعی در شناسایی صدای فرماندهان اشاره کرد و گفت: «استفاده از هوش مصنوعی برای تشخیص صدا و موقعیت فرماندهان، یکی دیگر از روش‌هایی است که رژیم صهیونیستی به‌کار می‌برد.»

سردار جلالی در ادامه به حادثه انفجار پیجر‌ها در لبنان اشاره کرد و افزود: «این حادثه شبهه امکان‌پذیری استفاده از این روش‌ها را حل کرد و نشان داد که رژیم صهیونیستی در وسایل ارتباطی فوریتی دستکاری می‌کند. عدم اعتماد ما به تکنولوژی و سخت‌افزار‌های خارجی یک مساله جدی است. نمونه‌ای از این موضوع را در قطعات برخی از صنایع داخلی مشاهده کرده‌ایم. احتیاط ایجاب می‌کند که مردم از برخی نرم‌افزار‌های خارجی که خصومت آنها با ایران ثابت شده است، استفاده نکنند. اینستاگرام نیز کاملا به عنوان ابزاری برای ماموریت‌گیری در بخش رسانه‌ای فعالیت می‌کند.»

البته این اظهارنظر در فضای مجازی از سوی دختر سردار شادمانی تکذیب شد. شادمانی در فضای مجازی در این خصوص نوشت: «محل استقرار پدر هر چند ساعت تغییر می‌کرد. گوشی و وسایل هوشمند همراه نداشتند. پروتکل‌های امنیتی رعایت شده بود، اما طی روز‌های فرماندهی ستاد جنگ چندین بار مورد ترور هدفمند اسرائیل قرار گرفتند. ردیابی‌های دقیق اسرائیل فراتر از واتس‌اپ یا جاسوسی سنتی و فردی است.‌‌ای کاش مسوولان مرتبط اقدام به شناخت علت‌های دقیق و پیشرفته ردیابی به جای تکیه صرف به نرم‌افزار‌های خارجی کنند.»

کارشناسان فنی هم اتهامات مربوط به ناامنی واتس‌اپ را رد می‌کنند و توضیحات آنها نشان می‌دهد که علاوه بر اینکه چنین شایعاتی از اساس تایید علمی ندارند، در برخی موارد با اصول اولیه کارکرد گوشی‌ها و چارچوب‌های امنیتی رایج در سیستم‌عامل‌های موبایل نیز در تضاد هستند. این کارشناسان تاکید می‌کنند که در حال حاضر هیچ نرم‌افزاری بدون دریافت مجوز مستقیم از کاربر امکان دسترسی به اطلاعاتی مانند موقعیت مکانی را ندارد و حتی در صورتی که این مجوز دریافت شود، محدودیت‌های سیستم‌عامل از سواستفاده‌های پنهان جلوگیری می‌کند.

سعید سوزنگر، کارشناس شبکه، در خصوص احتمال نفوذ به واتس‌اپ به «دنیای اقتصاد» می‌گوید: «هر ابزار فناورانه‌ای در هر سطحی از توسعه و محبوبیت همواره امکان هک شدن و آسیب‌پذیری دارد، اما تفاوت اصلی میان ابزارهای رایج، در وسعت استفاده و میزان پشتیبانی امنیتی آنهاست. هرچه یک ابزار کاربرد بیشتری داشته باشد، تیم‌های امنیتی بیشتری روی ایمن‌سازی آن کار می‌کنند و بودجه و نیروی انسانی بیشتری برای مقابله با تهدیدات در اختیار دارند.

واتس‌اپ نیز از این قاعده مستثنا نیست.» سوزنگر به تعداد بالای کاربران واتس‌اپ در جهان اشاره می‌کند و می‌گوید: «این پیام‌رسان به‌ دلیل جامعه کاربری گسترده‌‌ای که دارد از پشتیبانی امنیتی قابل‌توجهی برخوردار است. واتس‌اپ همچنین در برنامه‌های جهانی باگ‌بانتی شرکت می‌کند و از هکرهای حرفه‌ای در سراسر دنیا دعوت می‌کند تا آسیب‌پذیری‌های احتمالی آن را شناسایی کنند؛ موضوعی که خود نشان‌دهنده رویکرد شفاف و پیش‌گیرانه این شرکت در مواجهه با چالش‌های امنیتی است.»

آرین اقبال، کارشناس شبکه، نیز درباره احتمال نفوذ به واتس‌اپ به «دنیای اقتصاد» می‌گوید:«در ارتباط با موضوع ناامنی واتس‌اپ باید به چند جنبه فنی و تحلیلی توجه کرد؛ قبل از هر چیز آنکه این ادعا فاقد هرگونه پشتوانه فنی مشخص است. وقتی فرد یا نهادی چنین ادعایی را مطرح می‌کند باید بتواند دلایل و مدارک فنی معتبری ارائه دهد؛ مدارکی ملموس که امکان بررسی تخصصی و آزمون امنیتی روی آنها وجود داشته باشد.

چنین بررسی‌هایی ممکن است توسط نهادهای رسمی مانند وزارت اطلاعات یا حتی سطوح پایین‌تری از ساختار حکمرانی مانند مرکز افتا یا آزمایشگاه‌های امنیتی مستقل صورت بگیرند. نتایج این بررسی‌ها باید مکتوب، مستند و منتشر شده باشند تا مبنای قضاوت عمومی قرار بگیرند. صرف مطرح کردن یک ادعا آن هم بدون ارائه مستندات فنی پذیرفتنی نیست؛ به‌ ویژه وقتی موضوع تا این حد گسترده و حساس است.»

این کارشناس شبکه معتقد است در صورتی که چنین اتفاقی رخ داده و اطلاعات موقعیت مکانی کاربر از طریق واتس‌اپ به بیرون درز کرده باشد، پیامدهای گسترده‌ای به دنبال خواهد داشت؛ زیرا تمام ادعاهای واتس‌اپ و شرکت مادر آن متا در مورد رمزنگاری سرتاسری (End-to-End Encryption) زیر سوال می‌رود. او می‌گوید: «این موضوع فقط یک ماجرای امنیتی در جریان یک عملیات جنگی یا ترور خاص نیست، بلکه اصول بنیادین امنیت ارتباطات دیجیتال را تهدید می‌کند.

اگر مدرکی مبنی بر چنین رخدادی وجود داشته باشد و منتشر شود، بدون تردید زلزله‌ای در صنعت فناوری و امنیت سایبری ایجاد خواهد کرد و حتی ممکن است موجودیت واتس‌اپ و شرکت متا را به خطر بیندازد. در آن صورت کاربران سراسر جهان اعتماد خود را از دست می‌دهند و این اپلیکیشن‌ها دیگر جایگاهی در فضای ارتباطی نخواهند داشت.»

رمزنگاری سرتاسری یا E۲EE یک روش امنیتی است که در آن تنها فرستنده و‌گیرنده پیام می‌توانند محتوای آن را بخوانند و هیچ شخص سومی، از جمله ارائه‌دهنده سرویس، قادر به دسترسی به پیام‌های رمزگذاری‌شده نخواهد بود. در این شیوه پیام‌ها قبل از ارسال در دستگاه فرستنده رمزگذاری می‌شوند و تنها در دستگاه‌گیرنده قابل رمزگشایی هستند. این فرآیند به این معناست که حتی اگر اطلاعات در حین انتقال یا در سرورهای سرویس‌دهنده به سرقت بروند قابل خواندن نخواهند بود.

سوزنگر تنها نقطه ضعف واتس‌اپ را منظر فنی مربوط به نحوه پشتیبان‌گیری (Backup) از پیام‌ها می‌داند. در حالت پیش‌فرض پشتیبان‌گیری از چت‌ها به‌ صورت رمزنگاری‌نشده انجام می‌شود و این موضوع می‌تواند در شرایطی خاص یک آسیب‌پذیری امنیتی ایجاد کند. البته کارشناسان در این باره پیشنهاد می‌دهند که کاربران می‌توانند با فعال‌سازی دستی قابلیت پشتیبان‌گیری رمزنگاری‌شده این مشکل را نیز برطرف کنند.

برخی کارشناسان نیز به بعضی مشکلات پشتیبان‌گیری در واتس‌اپ و همچنین ناآگاهی کاربران نسبت به برخی تنظیمات امنیتی اشاره می‌کنند. وحید فرید، کارشناس آی‌تی، در این باره در شبکه ایکس نوشته است: «واتس‌اپ نسخه پشتیبان را بدون رمزنگاری نگهداری می‌کند که باعث می‌شود داده‌ها روی دستگاه کاربران خطرپذیر باشند. البته شرکت متا از سال ۲۰۲۱ بعد از فشارهایی که در این خصوص متحمل شد، امکان رمزنگاری پشتیبان‌گیری را به اپلیکیشن واتس‌اپ اضافه کرد. البته این قابلیت به صورت پیش‌فرض خاموش است و کاربر باید خودش آن را فعال کند.»

امن برای کاربران عادی
کارشناسان امنیت شبکه معتقدند برای آن که اطلاعات مکانی از طریق واتس‌اپ به بیرون مخابره شود، باید چندین مانع فنی به‌طور هم‌زمان نقض شده باشند؛ اتفاقی که آنها احتمال وقوع آن را عملا صفر می‌دانند. آرین اقبال، کارشناس شبکه، در این باره به «دنیای اقتصاد» می‌گوید: «اگر چنین داده‌هایی مخابره شده باشند، این کار باید از طریق شبکه‌ای صورت گرفته باشد که امکان رهگیری آن فراهم باشد. ترافیک تمام اپلیکیشن‌ها تقریبا به‌طور کامل رمزنگاری شده‌اند و کشف اینکه چه داده‌ای به کجا ارسال شده، حتی برای نهادهای حرفه‌ای نیز کار دشواری است، مگر آنکه دستگاه مورد نظر توسط یک تیم امنیتی مهندسی معکوس شده باشد و کدهای برنامه مورد بررسی قرار گیرد.»

او معتقد است که حتی اگر در نسخه‌ای از واتس‌اپ یک در پشتی (Backdoor) برای دسترسی به اطلاعات کاربران تعبیه شده باشد، این اقدام خلاف تمام اصول امنیتی است و موجودیت شرکت متا را به‌شدت تهدید می‌کند. باید یادآور شد که هیچ شرکت فناوری معتبری چنین ریسکی را نمی‌پذیرد؛ زیرا حتی یک گزارش مستند و فنی در این زمینه می‌تواند به منزله پایان حیات تجاری آن شرکت باشد.

اقبال همچنین به متن‌باز نبودن واتس‌اپ اشاره می‌کند که باعث می‌شود کاربران نتوانند به کدهای آن دسترسی داشته باشند یا صحت ادعاهای امنیتی آن را بررسی کنند. او در این مورد توضیح می‌دهد: «در مقابل نرم‌افزارهایی مانند سیگنال (Signal) نه‌تنها متن‌باز هستند، بلکه پروتکل‌های رمزنگاری آنها از سوی جامعه امنیتی بین‌المللی به لحاظ ریاضی تایید شده‌اند. بنابراین استفاده از واتس‌اپ برای افرادی که نیاز به رعایت دقیق پروتکل‌های امنیتی دارند مانند افراد نظامی، دانشمندان یا مقامات بلندپایه منطقی نیست و چنین افرادی بهتر است به سراغ ابزارهایی بروند که شفافیت بیشتری دارند و امنیت آنها توسط نهادهای مستقل تایید شده است.»

سعید سوزنگر، دیگر کارشناس شبکه، نیز این مورد را تایید می‌کند و توضیح می‌دهد: «در مورد کاربردهای امنیتی و نظامی موضوع تفاوت می‌کند. در این سطح از استفاده حتی وجود احتمال بسیار اندک برای نفوذ یا درز اطلاعات اهمیت حیاتی پیدا می‌کند. به همین دلیل برای افراد در سطوح بالای امنیتی یا سیاسی اصولا استفاده از هیچ پیام‌رسان عمومی توصیه نمی‌شود؛ نه واتس‌اپ، نه سیگنال و نه هیچ ابزار دیگری که از مسیرهای ارتباطی معمول کار می‌کند. در این حوزه‌ها استفاده از سیستم‌های سنتی‌تر مبتنی بر سخت‌افزارهای ایزوله شبکه‌های محلی یا فناوری‌های خاص با پروتکل‌های بسته، منطقی‌تر و ایمن‌تر است.»

او همچنین معتقد است که برای کاربران عادی نگرانی در مورد امنیت واتس‌اپ نه‌تنها بی‌مورد، بلکه گاه ناشی از فضاسازی رسانه‌ای و بزرگ‌نمایی بدون مبنای خطرات است. خطر نشت اطلاعات برای شهروندان معمولی در واتس‌اپ در حداقل‌ترین سطح ممکن قرار دارد و اغلب با رعایت ساده‌ترین تنظیمات امنیتی می‌توان از آن جلوگیری کرد. توصیه کارشناسان حوزه امنیت این است که نباید میان دغدغه‌های مشروع افراد در حوزه امنیت ملی و استفاده روزمره کاربران از ابزارهای ارتباطی خلط معنا صورت گیرد.

بازگشت فیلترینگ
پس از جنگ ۱۲ روزه و حمله اسرائیل به ایران بود که کاربران در شبکه‌های اجتماعی گزارش کردند استفاده از واتس‌اپ بدون فیلترشکن عملا غیرممکن شده است و در ادامه حتی شورای ملی فضای مجازی در گفت‌وگو با برخی رسانه‌ها از کاهش پهنای باند این اپلیکیشن هم خبر داده بود.

هر چند به فاصله کمی این خبر از خروجی رسانه‌ها حذف شد، اما کارشناسان چنین اقدامی را هر چند احتمالی اما غیرکارشناسانه خواندند. آرین اقبال، کارشناس شبکه، در این خصوص به «دنیای اقتصاد» می‌گوید: «فیلتر کردن یا حمله به واتس‌اپ بدون ارائه مستندات فنی نه‌تنها اقدامی غیرکارشناسانه است، بلکه می‌تواند به امنیت ملی هم آسیب بزند؛ زیرا تمرکز رسانه‌ها و افکار عمومی را از آسیب‌پذیری‌های واقعی به سمت یک هدف اشتباه هدایت می‌کند.

این منحرف کردن توجه عمومی باعث می‌شود تا گلوگاه‌های امنیتی واقعی در سایه باقی بمانند و در آینده دوباره از همان نقاط ضربه بخوریم. از آنجایی که چنین گزارشی تاکنون منتشر نشده است، می‌توان نتیجه گرفت که اساس این ادعاها نامعتبر است و بیشتر در چارچوب نظریه‌های توطئه قابل تحلیل‌اند. ادعاهایی که به‌جای افزایش آگاهی امنیتی کاربران، توهم امنیت ایجاد می‌کنند و در بلندمدت می‌توانند به منافع عمومی آسیب بزنند.»

بر اساس گزارشی در روزنامه اعتماد، گردش مالی سالانه فروش فیلترشکن حدود ۲۰ هزار میلیارد تومان (۲۰همت) است و آخرین مطالعات در این باره نشان داده است که با رفع فیلتر واتس‌‌اپ به‌طور میانگین مصرف فیلترشکن حدود ۱۰ درصد کمتر شد که زیان ۲ هزار میلیارد تومانی به فروشندگان فیلترشکن وارد کرده است و به همین دلیل آنان دنبال فشار برای فیلتر کردن دوباره واتس‌اپ هستند.

در مجموع تجربه‌های جهانی در حوزه امنیت سایبری حاکی از آن است که هر اپلیکیشن ارتباطی باید در چارچوب سطح کاربری و اهداف خود ارزیابی شود. در این بین واتس‌اپ اگرچه برای کاربران عمومی از امنیت قابل قبولی برخوردار است، اما برای استفاده در سطوح بالای امنیتی یا نظامی مناسب نیست و نباید چنین کارکردی برای آنها در نظر گرفت. در این شرایط طرح ادعاهای بدون پشتوانه درباره ناامنی پلتفرم‌های پیام‌رسان در حالی که گزارش‌های قابل اتکا و علمی در خصوص آن منتشر نشده است، نه‌تنها کمکی به تقویت امنیت نمی‌کند، بلکه باعث تشویش افکار عمومی و ابهام در فضای فناوری کشور می‌شود.