دو نکته برای امنیت بیشتر در اپلیکیشنهای پیامرسان
رمزنگاری دوطرفه در حال تبدیلشدن به استانداردی است که بسیاری از اپلیکیشنها ادعا میکنند با بهکارگیری آن، از حریم شخصی کاربرانشان حفاظت میکنند. اما همهی روشهای رمزنگاری به یک اندازه موثر نیستند. در ادامه اطلاعات بیشتری را پیرامون امنیت در اپلیکیشنهای پیامرسانی در اختیارتان میگذاریم. با دیجیکالا مگ همراه باشید.
امنیت جادو نیست و واتساپ هم هیچ جادویی برای حفاظت از همه در برابر نظارتهای پنهان به کار نمیبندد. هنوز چیزهایی هست که شما باید برای اطمینان از قابلیت رمزنگاری دوطرفه در این دو اپلیکیشن، اعمال کنید. بخش اصلی اطلاعاتی که عموم مردم باید از آن مطلع باشند در این میان ناگفته مانده است.
در ماه آوریل ۲۰۱۶، «واتساپ» (WhatsApp) و «وایبر» (Viber) هر دو اعلام کردند که یک لایهی امنیتی برای محافظت از پیامهای کاربرانشان در برابر نظارتها و جاسوسیها اضافه کردهاند. این لایه طوری طراحی شده از لحاظ فنی امکان دسترسی به پیامهای کاربران را در برابر هکرها، فشارهای دولتی و حتی خود این شرکتها ناممکن میکند. در این برهه واتساپ با بیش از یک میلیارد کاربر و وایبر با بیش از هفتصد میلیون کاربر با اضافه کردن قابلیت رمزنگاری پیامها، زمینه را برای بهرهمندی کاربران عادیشان از این ویژگیهای امنیتی مهیا کردهاند؛ امکانی که تابهحال تنها خورهها و گیکها با میزان مشخصی از دانش و تخصص در حوزهی امنیت و رمزنگاری، امکان استفاده از آن را داشتند.
اما قابلیت رمزنگاری ارایهشده، کامل نیست. اگر چه واتساپ و وایبر در حال تبلیغ امکان رمزنگاری در بستر خود هستند، اما در واقع نیاز به فعالسازی و اعمال برخی تغییرات برای دست یافتن به سطح معقولی از امنیت ضروریست. بررسی برخی تنظیمات و سرویس پشتیبان در این سرویسها -که در ادامه در خصوص هر دو توضیح داده شده- کمک میکند که به طور کامل از قابلیت رمزنگاری دوطرفه در این دو اپلیکیشن بهره ببرید.
«فیلیپو والسوردا» (Filippo Valsorda) مهندس کریپتوگرافی شرکت امنیتی CloudFlare که امکانات جدید واتساپ و وایبر را بررسی کرده میگوید: «امنیت جادو نیست و واتساپ هم هیچ جادویی برای حفاظت از همه در برابر نظارتهای پنهان به کار نمیبندد. هنوز چیزهایی هست که شما باید برای اطمینان از قابلیت رمزنگاری دوطرفه در این دو اپلیکیشن، اعمال کنید. بخش اصلی اطلاعاتی که عموم مردم باید از آن مطلع باشند در این میان ناگفته مانده است.»
نکتهی اول: فعالسازی تایید کلید
به گفتهی مهندس کریپتوگرافی شرکت CloudFlare، در اپلیکیشن واتساپ نکتهای مهم برای احراز هویت مخاطب وجود دارد .برای ضمانت رمزنگاری، لازم است که حتما شخص موردنظرمان امکان رمزگشایی پیامها را داشته باشد؛ اما ضرورت دارد مخاطب نیز ثابت کند همان است که باید باشد.
برای این کار، واتساپ و سایر ابزارهایی که از امکان رمزنگاری دوطرفه استفاده میکنند، امکان بررسی کلیدهای منحصربهفرد خود را به یکدیگر میدهند. این کلیدها با نام Key Fingerprint شناخته میشوند؛ آنها در واقع نسخهی کوتاهشدهی کلیدهای منحصربهفردی هستند که واتساپ برای شناسایی هویت کاربر ذخیره میکند. اما مشکل اینجاست که تنظیمات پیشفرض واتساپ، به هنگام تغییر Key Fingerprint یک مخاطب، آن را به شما اعلام نمیکند. اگر کلید عمومی مخاطبی تغییر کند، معانی مختلفی میتواند داشته باشد؛ احتمالا او گوشی جدیدی خریده یا واتساپ را از گوشیاش پاک کرده و دوباره نصبش کرده. بههرحال در صورتیکه کلید بهواسطهی عملکرد کاربر تغییر کرده باشد، حتی ناآگاهی از این تغییر نیز مشکلی ایجاد نمیکند. اما وضع میتواند بدتر باشد؛ اگر شما از تغییر کلیدها آگاه نشوید، ممکن است کسی از طریق حملهی Man-in-the-middle تلاش کند خود را دوست یا همکار شما جا بزند و بدین ترتیب امکان رمزگشایی پیامها پیش از رسیدن به مخاطب موردنظر برایش ممکن میشود.
خوشبختانه در واتساپ امکانی تحت عنوان Security Notification وجود دارد که با فعال کردن آن میتوانید در صورتیکه کلید کاربری تغییر کرد، مساله را بهصورت خودکار به شما اطلاع دهد. برای فعالسازی این قابلیت، در تنظیمات واتساپ و در بخش Accounts، گزینهی Security را تپ کرده و گزینهی Show Security Notifications را روشن کنید. توجه داشته باشید که بدون روشن کردن این گزینه، در صورت تغییر کلیدهای مخاطبان شما در واتساپ، شما مطلع نمیشوید و این مساله میتواند امنیت و حریم شخصی شما را -با وجود رمزنگاری دوطرفه- بهراحتی به خطر بیاندازد.
در اپلیکیشن وایبر اما قضیه تا حدودی متفاوت است. در وایبر لازم است عملیات تایید مخاطب و ابزاری که استفاده میکند بهصورت دستی انجام شود. پس از آن وایبر کلید مربوط به آن مخاطب را نگه میدارد. آنطور که در صفحهی سوالات متداول بخش امنیت سایت وایبر آمده، یک مخاطب تنها زمانی تایید میشود که یک مکالمهی صوتی با او برقرار و در حین مکالمه -پس از اطمینان از هویت مخاطب- روی آیکون قفلی که روی صفحه وجود دارد تپ شود. از آن لحظه به بعد، پیامهای آن مخاطب به رنگ سبز در میآید و در صورتیکه کلید عمومی او تغییر کند، پیامها به رنگ قرمز در میآیند.
در صورتیکه عملیات احراز هویت و قفل کردن (ثبت کلید) در مکالمهی صوتی انجام نشود، مخاطب میتواند بدون اینکه شما متوجه شوید، کلید عمومی خود را تغییر دهد. پس لازم است این تایید ثانویه با مخاطبانی که اطلاعات مهمی با آنها ردوبدل میکنید، حتما انجام شود.
نکتهی دوم: غیرفعالسازی پشتیبانگیری در سرویسهای ابری
با وجود کلیدهای عمومی، همهی کسانی که از اطلاعات اپلیکیشن پیامرسان خود نسخهی پشتیبان تهیه میکنند، ممکن است با مشکلات جدی مواجه شوند. چراکه در اکثر مواقع، نسخههای پشتیبان اپلیکیشنهای پیامرسان، بدون رمزنگاری ذخیره میشوند. در بهترین حالت، رمزنگاری آنها با سیستمی که تنها کلید را محافظت میکند انجام میشود و پیامها کماکان رمزنگارینشده باقی میمانند.
در واتساپ و وایبر، با وجود رمزنگاری موجود، پیامها بهمحض پشتیبانگیری روی iCloud یا Google Drive، بدون رمزنگاری در این سرویسها ذخیره میشوند. این مساله، ریسک دسترسی هکرها، دولت و حتی شرکتهای اپل و گوگل به متن پیامهایتان را بهشدت افزایش میدهد. به گفتهی«جاناتان زدزیارسکی» (Jonathan Zdziarski) مشاور امنیت در زمینهی سیستم عامل iOS، اگر شما اپلیکیشنی دارید که امکان پشتیبانگیری روی iCloud را دارد، تنها دلیل استفاده از آن باید بازیابی اطلاعات روی یک ابزار دیگر باشد .پس پشتیبانگیری از پیامهای رمزنگاری شده که قرار نیست روی ابزاری دیگر قابلخواندن باشند، چه سودی [بهجز نقض رمزنگاری در وهلهی اول و تقدیم اطلاعات پیامها به همه] دارد؟
در آیفون، امکان خاموش کردن قابلیت پشتیبانگیری ساده است. کافیست در تنظیمات، به اپلیکیشن واتساپ مراجعه کرده و در قسمت Backup Options، قابلیت پشتیبانگیری را خاموش کنید. بهعلاوه لازم است امکان پشتیبانگیری را از داخل اپ (قسمت تنظیمات و بخش Chat Backup) نیز خاموش کنید.
در اندروید، لازم است امکان پشتیبانگیری گوگل درایو از اپلیکیشن واتساپ را خاموش کرد. بهعلاوه باید توجه داشت که پشتیبانگیری از طریق سایر اپلیکیشنها -مانند دراپباکس- نیز انجام نشود.
پس حتما توجه داشته باشید که برای رمزنگاری کامل و همیشگی پیامهای شما در واتساپ و وایبر، هرگز نباید از قابلیت پشتیبانگیری پیامهای این دو پیامرسان، بر روی هیچ نرمافزار یا سرویسی استفاده کرد.
توجه داشته باشید که با غیرفعال کردن نسخهی پشتیبان، در صورت خرابی یا گم شدن تلفن هوشمندتان، امکان بازیابی دادهها وجود نخواهد داشت. البته این قابلیت مثبتیست که در ازای رمزنگاری پیامها نصیب شما میشود. «متیو گرین» (Matthew Green) متخصص کریپتوگرافی، از این مساله به عنوان Mud Puddle Test (آزمون چالهی گل) یاد میکند. اگر شما تلفنتان را درون چالهی گل بیاندازید و سپس خودتان نیز در آن چاله بیفتید، سرتان ضربه بخورد و تمامی رمزهای عبور خود را فراموش کنید، آیا کماکان امکان بازیابی اطلاعات پیامرسانهایتان وجود دارد؟ اگر این امکان با کمک رمز عبور حساب اپل یا گوگل یا بازیابی رمزعبور آنها وجود داشته باشد، پیامها در واقع رمزنگاری شده نبودهاند.
اپلیکیشن پیامرسان «سیگنال» (Signal) که بهوسیلهی ادوارد اسنودن توصیه میشود، امنترین گزینهی ممکن برای رمزنگاری پیامهاست و «آزمون چالهی گل» را با موفقیت میگذراند. چراکه پیامهای داخل اپلیکیشن سیگنال، در تلفنی که در چاله گل بیفتد و نابود شود، غیرقابلدسترس خواهند بود.
توجه داشته باشید که شاید همهی افراد علاقهای به از دست دادن پیامهای خود در برابر رمزنگاری آنها نداشته باشند؛ در صورتیکه مخاطب شما یکی از این افراد باشد، حداقل پیامهای ردوبدل شده بین شما و آن فرد، بهواسطهی پشتیبانگیری ممکن است در خطر باشد و این شما هستید که ریسک مکاتبه و مکالمه با آن فرد را میپذیرید. در این صورت بهتر است بهجای واتساپ یا وایبر از اپلیکیشن سیگنال استفاده شود. بدینترتیب عدم وجود قابلیت پشتیبانگیری اطلاعات، میزان اطمینان از امنیت اطلاعات را بیشتر خواهد کرد.
منبع: Wired