تیم ایمنیی واتساپ بهشتاب حفره را پیدا کرد و در عرض چند روز آن را هم روی سرورها، هم در بهروزرسانیهای نرمافزاری برطرف کرد. بههمین دلیل، آسیبپذیری واتساپ یک مشکل موقت بود، نه ضعفی دائمی در طراحی آن که بهشتاب کنترل و حل شد. در واقع، بیان این حقیقت بدون اشاره به زمینهی زمانی آن، تصویری نادرست از وضعیت ایمنیی فعلی واتساپ ارائه میدهد.
رویکرد آقای جهرمی، تفاوت اساسی بین یک نقص موقت و یک ضعف دائمی در طراحی نرمافزار را نادیده میگیرد و بهجای اطلاعرسانی دقیق، روی ترساندن مردم تمرکز میکند.
ادعای «ضعف نرمافزاری داخلی» واتساپ سادهسازی بیش از حد گمراهکنندهای است. ایمنی هستهی واتساپ بر پایهی قانون ارتباط سیگنال بنا شده که در صنعت رمزنگاری بهعنوان استاندارد طلایی شناخته میشود. این قانون ارتباط، رمزنگاری سرتاسری (E2EE) را برای تمام نوتیفیکیشنها، عکسها، ویدئوها و تماسها بهصورت پیشفرض فعال میکند؛ بدینمفهوم که محتوای نوتیفیکیشنها از زمان فرستادن تا زمان دریافت، رمزنگاریشده باقی میماند و حتی خود واتساپ نیز ناتوان است به آن اجازه دسترسی پیدا کند.
قانون ارتباط بهکاررفته در واتساپ از مکانیزمهای پیشرفتهای مانند الگوریتم Double Ratchet نیز استفاده میکند که برای هر نوتیفیکیشن یک کلید رمزنگاری جدید تولید میکند و تضمین میکند که حتی اگر یک کلید در آینده به خطر بیفتد، نوتیفیکیشنهای قبلی همچنان امن باقی خواهند ماند.
با وجود زیرساخت ایمن واتساپ، تهدید واقعی برای یوزران اغلب با حملاتی است که رمزنگاری را دور میزنند، نه با شکستن آن؛ حملاتی مانند مهندسی اجتماعی، فیشینگ (فرستادن لینکهای مخرب) و جابهجایی سیمکارت (SIM Swapping) بهجای نفوذ به نرمافزار، از اشتباههای انسانی یا نقاط ضعف در سیستمعامل دستگاه بهرهبرداری میکنند؛ بهعنوان مثال، یک هکر میتواند با فریب یوزر برای فرستادن کد برنامه تایید، حساب واتساپ او را در اختیار بگیرد.
بنابراین، ادعای «ضعف نرمافزار داخلی» در واتساپ، تفاوت میان یک آسیبپذیری فنی موقت و یک نقص در زیرساخت رمزنگاری را نادیده میگیرد. در حقیقت، واتساپ یک بستر امن با یک قانون ارتباط رمزنگاری قوی است؛ اما ایمنی واتساپ ناتوان است از یوزر در برابر اشتباهی انسانی یا از سیستمعامل در برابر حملات بسیار پیچیدهی دولتی محافظت کند.
اظهارنظر درباره استفادهی یک «رژیم» از واتساپ برای جاسوسی، در واقعیت ریشه دارد؛ اما ابزار جاسوسی نه خود واتساپ؛ بلکه بدافزار پگاسوس بوده؛ این بدافزار که بهصورت انحصاری به دولتها فروخته میشود، برای هدف قرار دادن فعالان حقوق بشر و روزنامهنگاران در سراسر جهان استفاده شده؛ بدافزار پگاسوس از آسیبپذیریهای موقتی مانند حفرهی ایمنیی سال ۲۰۱۹ واتساپ برای نفوذ به دستگاهها استفاده کرده است.
موضع واتساپ در قبال درخواستهای دولتی نیز تفاوتهای کلیدی و فاحشی را نشان میدهد. این شرکت یک تیم تخصصی بهنام Law Enforcement Response Team (LERT) دارد که هر درخواست دولتی را بهصورت موردی بررسی کردن میکند تا از قانونیبودن آن اطمینان حاصل کند. بهدلیل وجود رمزنگاری سرتاسری، واتساپ بهصراحت اعلام کرده است که «ناتوان است محتوای نوتیفیکیشنهای یوزران خود را در پاسخ به درخواستهای دولتی ارائه دهد»؛ اما در پاسخ به حکم قانونی معتبر، میتواند فرادادهها (metadata) مانند اطلاعات حساب، تاریخ آخرین بازدید، آدرس IP و سوابق تراکنش را ارائه کند.
این تمایز حیاتی است و نشان میدهد که جاسوسی در چنین مواردی با دور زدن و سوءاستفاده از قانون ارتباطهای ایمنیی صورت گرفته است، نه با همکاری واتساپ. واتساپ در سال ۲۰۲۰ حتی از شرکت NSO Group به دلیل سوءاستفاده از سکوی نرمافزاری خود شکایت کرد و در نهایت نیز برندهی دعوای حقوقی خود با NSO شد.
ادعای وزیر سابق ارتباطات، مبنی بر تمسخر واتساپ توسط پاول دورف، مدیرعامل تلگرام، کاملاً دقیق است؛ دوروف بهطور علنی واتساپ را «تقلید ارزان» تلگرام خوانده و ادعا کرده که این برنامه، «درهای پشتی» دارد. اظهارات دوروف بخشی از رقابت تجاری آشکار میان تلگرام و واتساپ بهحساب میآید.
سپس به تفاوت واتساپ با دو نوتیفیکیشنرسان بزرگ رقیب هم میپردازیم.
بررسی کردن دقیق مدل ایمنیی خود تلگرام، تصویری پیچیدهتر را نشان میدهد؛ درحالی که واتساپ رمزنگاری سرتاسری را بهصورت پیشفرض برای تمام چتها و تماسها فعال کرده، تلگرام این قابلیت را تنها به «چتهای محرمانه» (Secret Chats) محدود میکند؛ بنابراین اکثر یوزران تلگرام در چتهای عادی و گروهی خود، از لایهی حیاتی ایمنیی محروم هستند و نوتیفیکیشنهایشان روی سرورهای تلگرام، رمزنگارینشده ثبت میشوند.
