ثغرة في واتساب تتيح التجسس على الرسائل المشفرة [تحديث] 2017
بدأت واتساب بتطبيق التشفير الكامل على الرسائل النصية والصوتية منذ ابريل الماضي بحيث لايمكن لأحد الإطلاع على محتوى الرسائل حتى واتساب نفسها، لكن اكتشف أحد الباحثين الأمنيين ثغرة وباب خلفي تسمح لفيس بوك وغيرها من الجهات الحكومية الإطلاع على الرسائل بصورة علنية على الرغم من التشفير.
نشرت صحيفة الغارديان تقرير حول اكتشاف الباحث الأمني من جامعة كاليفورنيا Tobias Boelter لما يعرف بالباب الخلفي في واتساب يجعل الرسائل المشفرة معرضة للإنكشاف والاعتراض من قبل جهات طرف ثالث بما فيها فيس بوك والسلطات الحكومية.
وقال Boelter أنه إذا طلبت الوكالات الحكومية من واتساب الكشف عن رسائل أحد المستخدمين، فإنه بإمكانها الوصول إليها بفعالية بسبب التغيير في مفاتيح التشفير.
تستخدم واتساب بروتوكول Signal لتوليد مفاتيح أمنية فريدة في نظام التشفير المطبق من نوع end-to-end، وطبقت واتساب إجراءات إضافية تسمح بتوليد مفاتيح تشفير جديدة إجبارياً للمستخدمين غير المتصلين بالإنترنت، بالتالي تكون بعض الرسائل مكشوفة أمام المهاجمين.
ما أن تجبر واتساب بتطبيق مفاتيح التشفير الجديدة، فإن كل الرسائل غير المسلمة بعد للمرسل إليه يتم إعادة تشفيرها أوتوماتيكياً ويتم إعادة إرسالها مجدداً بالمفاتيح الجديدة بدون علم المرسل، وبهذه الحالة فإنه يمكن لشركة واتساب “اختطاف” مفاتيح التشفير المحدثة واستخدامها في معرفة الرسائل المشفرة.
لاحظ هنا أن الثغرة والباب الخلفي ليس في بروتوكول التشفير من Signal إنما يكمن في عدم قدرة المستخدم على منع إرسال الرسائل عندما يتم تغيير مفاتيح التشفير، بل بدلاً من ذلك تقوم واتساب تلقائياً بمعالجة الرسائل غير المسلمة وإعادة إرسالها وذلك بدون إعلام طرفي الرسالة المرسل والمرسل إليه.
في حال استخدام بروتوكول وطريقة تطبيق Signal فقط فإنه عندما يقوم أحد المستخدمين بتغيير مفاتيح التشفير وهو غير متصل بالإنترنت، فإن كل الرسائل المرسلة ستفشل في الوصول إلى وجهتها وسيتم إعلام المرسل بتغيير مفاتيح التشفير ولن يتم إعادة إرسالها أوتوماتيكياً.
وعلى الرغم من أن تطبيق واتساب يخبر المستخدم عندما يتم تغيير رموز التشفير وذلك مثلاً عندما يقوم أحد المستخدمين بتفعيل التطبيق مجدداً على رقمه وذلك من أجل مطابقتها والتأكد من أنه نفسه الشخص المقصود، لكن لايزال من غير الممكن أمام المستخدم منع الرسائل غير المسلمة من إعادة إرسالها بشكل غير محمي.
المثير للإهتمام أن الباحث الأمني أبلغ فيس بوك بهذه الثغرة والباب الخلفي في أمان واتساب منذ أبريل عندما تم تطبيق نظام التشفير الكامل، إلا أن فيس بوك أبلغته لاحقاً أن هذه ليست ثغرة انما شيء متوقع.
هذا الباحث الأمني ليس الوحيد الذي تحدث عن هذه الثغرة بل حتى حذرت منها منظمة EFF منذ اكتوبر الماضي على موقعها. ومع أن الموضوع قد يبدو خطيراً لكن يجب أن تعرف أن هذه “الثغرة” لا تكشف رسائلك للقراصنة العاديين إنما تسمح لفيس بوك أو واتساب نفسها أن تقرأ رسائلك على الرغم من التشفير، وبطبيعة الحال لو طلبت منها وكالات أمنية كالإستخبارات فإنها ستتمكن من تلبية طلبها بتسليم رسائل مستخدم معين.
ردت واتساب على تقرير صحيفة الغارديان بعدم صحة الإدعاءات المذكورة. وأضافت أن الخدمة لا تعطي الحكومات “باب خلفي” إلى أنظمتها وستكافح أية طلبات حكومية بإنشاء باب خلفي. وأوضحت أن “الثغرة” المذكورة في التقرير يمنع ملايين الرسائل من الضياع نتيجة تغيير المفاتيح السرية.
وأشارت واتساب إلى نشرها ورقة بحثية حول التفاصيل التقنية لتصميم التشفير المعتمد لديها، كما أنها كانت شفافة حول طلبات الحكومة التي تلقتها والبيانات التي تنشرها عن تلك الطلبات في تقرير شفافية فيس بوك.
Wattabab began implementing full encryption on text and voice messages since April so that no one could see the content of the messages until Attab itself, but a security researcher discovered a gap and a back door that allows Facebook and other government agencies to view the messages in public despite the encryption.
The Guardian published a report on the discovery of the security researcher from the University of California Tobias Boelter for what is known as the back door in Watasab makes encrypted messages vulnerable to disclosure and objection by third parties including Facebook and government authorities.
Boelter said that if government agencies asked Watsab to disclose a user's messages, they could effectively access them because of the change in encryption keys.
Wattab uses the Signal protocol to generate unique security keys in the end-to-end encryption system, and implements and processes additional procedures that allow the generation of new mandatory encryption keys for non-Internet users, so some messages are exposed to attackers.
Once Wassab is forced to implement the new encryption keys, all messages not yet sent to the addressee are automatically re-encrypted and re-sent with the new keys without the sender's knowledge. In this case, Watsab can "hijack" updated encryption keys and use them to identify encrypted messages.
Note that the gap and the back door is not in the Signal Crypto protocol. It is the inability of the user to block the transmission of messages when the encryption keys are changed. Instead, Wassab automatically processes and resends unblocked messages without informing the parties to the message sent and sent.
If the protocol and the Signal method are used only, when a user changes the encryption keys and is not connected to the Internet, all messages sent will fail to reach their destination and the sender will be notified that the encryption keys have been changed and will not be automatically resubmitted.
Although Wattabapp tells the user when the encryption code is changed, for example, when a user re-activates the application, the user will be able to prevent the unblocked message from being sent back. Not protected.
Interestingly, the security researcher told Facebook this gap and the back door in safety and access since April when the system was implemented full encryption, but Facebook later told him that this is not a gap but something expected.
This security researcher is not the only one to talk about this gap, but even warned by the EFF since last October on its site. While the subject may seem dangerous, you should know that this "vulnerability" does not reveal your messages to ordinary hackers, but allows Facebook or Outlook to read your messages despite encryption. Of course, if security agencies like it ask them to, Specific user.
Wattab reported on the Guardian's report that the allegations were incorrect. She added that the service does not give governments a "back door" to their systems and will fight any government requests for a back door. She explained that the "gap" mentioned in the report prevents millions of messages from being lost as a result of changing secret keys.
Watasab has published a research paper on the technical details of its encryption design, and has been transparent about the government requests it received and the data it publishes on those requests in the Facebook Transparency Report.