پس از حمله اسرائیل به ایران، مقامهای امنیتی و دولتی ایران بارها مدعی شدهاند که واتساپ نقش یک «ابزار جاسوسی» را ایفا میکند. آنها ادعا میکنند که اسرائیل و «عوامل داخلی» آن از طریق پیامرسانهایی مثل واتساپ با هم در تماس بودهاند و میگویند این پیامرسان با جمعآوری اطلاعات افراد، آخرین مکان حضور و ارتباطات آنها را در اختیار دشمن قرار داده است.
غلامرضا جلالی، رئیس سازمان پدافند غیرعامل هم در مصاحبهای با هشدار درباره استفاده از پیامرسانهای خارجی مدعی شد که «پیامرسان واتساپ در مکانیابی و ترور برخی از فرماندهان حماس نقش داشته است» و گفت که اسماعیل هنیه، رهبر سابق حماس، به همین شیوه در تهران هدف قرار گرفته است.
اما برخی از اعضای خانواده و نزدیکان فرماندهانی که در حمله اسرائیل کشته شدند، روایت دیگری دارند. علیرضا حاجیزاده، پسر فرمانده پیشین نیروی هوافضای سپاه پاسداران، که در حملات اسرائیل کشته شد، گفته است: «وقتی پدرم میخواستند صحبت کنند، میگفتند تلفنهای ثابت، کنترل، ریموت و ... را جمع کنید و به یکی از اتاقها ببرید. حتی وسایل الکتریکی را هم جمع میکردیم.»
مهدیه شادمانی، دختر علی شادمانی که تنها ده روز بعد از انتصابش به عنوان فرمانده قرارگاه مرکزی خاتمالانبیا در حمله اسرائیل کشته شده، در اینستاگرام خود نوشت: «ردیابی دقیق اسرائیل فراتر از واتساپ یا جاسوسی سنتی و فردی است.»
چهار روز بعد از آغاز حملات اسرائیل به ایران، صدا و سیما هم از مردم خواست اپلیکیشن واتساپ را از گوشیهای همراهشان حذف کنند و مدعی شد که این پیامرسان «در حال جمعآوری اطلاعات افراد» است و «آخرین مکان حضور و ارتباطات افراد» را در اختیار اسرائیل قرار میدهد. نیم میلیون ساله اسرار زمین را فاش خواهد کرد
End of پربینندهترینها
واتساپ در واکنش، این ادعاها را «نادرست» خواند و ابراز نگرانی کرد که چنین اتهاماتی ممکن است بهانهای برای مسدود کردن این پیامرسان شود. این شرکت تاکید کرد که موقعیت کاربران را ردیابی نمیکند، پیامها را نمیخواند و هیچگونه اطلاعات انبوهی را در اختیار هیچ دولتی قرار نمیدهد.
اما گذشته از ادعاهای دولت ایران درباره ناامنی واتسآپ، چطور میتوان از امن بودن یک پیامرسان اطمینان حاصل کرد؟ واتسآپ در این آزمون چه نمرهای میگیرد؟ پیامرسانهای بومی چطور؟ کاربران عادی برای حفظ امنیت اطلاعات خود چه کارهایی باید انجام دهند؟
یک پیامرسان امن چه ویژگیهایی دارد؟
مهمترین ویژگی یک اپلیکیشن پیامرسان امن، رمزگذاری سرتاسری (End-to-End Encryption) است. به این معنا که پیامها تنها در دو دستگاهِ فرستنده و گیرنده رمزگشایی میشوند و حتی سرورهای میانی هم قادر به خواندن آن نیستند.
این اپها باید همچنین دسترسیهای خود به دادههای کاربر را شفاف و قابلکنترل نگه دارند. برای مثال، یک برنامه مسیریاب لزوما نیازی به دسترسی به گالری عکس یا میکروفون ندارد. هر دسترسی غیرضروری، احتمال سوءاستفاده یا نشت اطلاعات را بالا میبرد.
واتساپ، که متعلق به شرکت متا (فیسبوک سابق) است، میگوید تمام پیامها، تماسهای صوتی و تصویری در این پلتفرم به صورت سرتاسری رمزگذاری میشوند. این رمزگذاری از سال ۲۰۱۶ به طور پیشفرض در واتساپ فعال شده است.
در حال حاضر شواهد فنی یا گزارش مستند و مستقلی مبنی بر نقض امنیت رمزگذاری واتساپ منتشر نشده است. مقامهای جمهوری اسلامی هم دلایل فنی و مشخصی برای ناامن خواندن این پیامرسان ارائه نکردهاند.
بعضی ادعاهای مطرحشده به نوع استفاده کاربران از این برنامه اشاره دارند، مثلا ارسال موقعیت جغرافیایی یک مرکز حساس به دیگران از طریق واتساپ. در چنین مواردی، بحث بر سر نحوه استفاده از پیامرسان است، نه ناامن بودن خود اپلیکیشن.
با این حال، واتساپ در سال ۲۰۱۹ هدف یک حمله سایبری قرار گرفت که طی آن شرکت اناساو با سوءاستفاده از یک حفره امنیتی در تماس صوتی واتساپ، جاسوسافزار پگاسوس را بدون نیاز به پاسخ تماس، روی دستگاه قربانی نصب کرد.
دادگاهی در آمریکا در سال ۲۰۲۵ شرکت اسرائیلی اناساو را به پرداخت ۱۶۸ میلیون دلار غرامت به متا (مالک واتساپ) محکوم کرد.
پیامرسانهای بومی
مقامهای ایرانی در سالهای اخیر از کاربران خواستهاند به جای واتساپ و تلگرام، از اپهای داخلی مانند «روبیکا» و «بله» استفاده کنند. این اپها روی «شبکه ملی اطلاعات» فعالیت میکنند و دولت ادعا میکند که امن هستند.
اما شرکتهای سازنده این اپها، فیلتر شدن پیامهای کاربران و نظارت بر محتوای تبادلشده میان کاربران را کتمان نمیکنند. آنها میگویند این نظارت برای «سالمسازی محتوا» ضروری است. نمونههایی مانند فیلتر خودکار تصاویر چهره زنان یا نظارت بر کانالهای عمومی، در این پلتفرمها مشاهده شده است.
چگونه امنیت یک پیامرسان را بسنجیم؟
برای سنجش امنیت یک پیامرسان، کاربران عادی میتوانند از چند روش ساده استفاده کنند:
۱- بررسی دسترسیها: در بخش تنظیمات هر برنامه، یا در زمان نصب آن، از شما خواسته میشود که اجازه دسترسیهایی (Permissions) به آن اپلیکیشن بدهید. مهم است که این دسترسیها غیرعادی نباشند. مثلا یک بازی فکری، احتمالا نیازی به دسترسی به میکروفون ندارد. به طور کلی اپهایی که کمترین دسترسی را میخواهند، احتمالا ایمنتر هستند.
۲- نصب از منابع معتبر: برنامهها را از منابع رسمی مثل گوگلپلی یا اپاستور دانلود کنید. اعتبار سازنده اپ و سایت رسمی آن را بررسی کنید.
۳- بررسی رمزنگاری برنامه: در بخش سیاست حفظ حریم خصوصی (Privacy Policy) ببینید که آیا اپلیکیشن از رمزگذاری سرتاسری استفاده میکند یا خیر. این معیار به ویژه برای پیامرسانها و اپهای بانکی بسیار مهم است.
۴- نظرات کاربران و امتیازها را بسنجید: امتیاز پایین یک اپ، تبلیغات زیاد یا گزارشها درباره نشت اطلاعات، میتواند هشداردهنده باشد.
۵- بهروزرسانی مرتب: برنامههایی که مرتب بهروزرسانی میشوند، معمولا توجه بیشتری به رفع آسیبپذیریها دارند.
متادیتا؛ ردپای نامرئی شما در شبکه
واتساپ محتوای پیامها را رمزگذاری میکند، اما دادههای جانبی (متادیتا) مانند زمان ارسال، مخاطب، و دستگاه ارسالکننده رمزگذاری نمیشوند. این دادهها میتوانند الگویی از ارتباطات کاربران بسازند.
برای مثال، با بررسی این دادها مشخص میشود که کاربر با چه کسانی، در چه زمانی، و از چه دستگاهی در ارتباط بوده است. این متادیتا در اختیار شرکت مادر (در مورد واتساپ شرکت متا) است و ممکن است در صورت صدور حکم قضایی، به نهادهایی مانند دولت آمریکا ارائه شود.
این اطلاعات اگرچه شامل محتوای پیامها نیستند، اما میتوانند در کنار هم تصویر دقیقی از روابط، موقعیت، و تحرکات افراد ارائه دهند.
تصاویر و ویدیوهایی که با گوشی ضبط میکنید، اغلب شامل اطلاعات متادیتا هستند؛ مثل زمان، مکان، نوع دوربین و شماره سریال دستگاه. این اطلاعات میتواند به شناسایی مکان یا ابزار ضبط منجر شود.
برای حذف آنها میتوان از اپلیکیشنهای مخصوص پاکسازی متادیتا استفاده کرد. برخی برنامههای ویرایش عکس و ویدیو هم خود این قابلیت را دارند.
آسیبپذیری شبکه ۲جی و راه مقابله با آن
شبکههای مخابراتی نسل دوم (2G) به دلیل رمزگذاری ضعیف، مستعد شنود و نفوذ هستند. در جریان اعتراضات ایران، گزارشهایی از بازگشت اجباری گوشیها به شبکه 2G منتشر شد که امکان شنود تماسها و پیامکها را برای نیروهای امنیتی فراهم میکرد.
برای مقابله با این نقطه ضعف، میتوانید در بخش تنظیمات گوشی، گزینه استفاده از شبکه 2G را غیرفعال کنید. پیامرسانهایی مانند «سیگنال» نیز این قابلیت را دارند که به طور کامل از شبکههای ناامن فاصله بگیرند.
اگر اپ امن باشد، باز هم ممکن است شنود شویم؟
پاسخ به این سوال مثبت است. حتی در صورت استفاده از اپهای امن، اگر دستگاه شما آلوده به بدافزار باشد، ممکن است اطلاعات، پیش از رمزگذاری یا حتی از طریق میکروفون و دوربین جمعآوری شود.
برای جلوگیری از این خطر، همواره بهروزرسانیهای امنیتی سیستمعامل و اپلیکیشنها را انجام دهید و از باز کردن فایلها و لینکهای مشکوک خودداری کنید.
واتساپ تا حد زیادی مانع ارسال بدافزار میشود، اما این خطر به طور کامل از بین نرفته است. برخی هکرها ممکن است فایلهای آلوده را در قالب عکس، ویدیو یا فایل پیدیاف ارسال کنند.
برای جلوگیری از این تهدیدات، فایلهای ناشناس را باز نکنید و نرمافزارها را تنها از منابع معتبر نصب کنید.
اشکان خسروپور، بی بی سی فارسی
