نفت شركة Open Whisper System وجود باب خلفي في تطبيق المحادثة الشهير Whatsapp يسمح بالتجسس على الرسائل المشفّرة.
كانت صحيفة الغارديان قد نشرت منذ يومين تقريرا أشار إلى باب خلفي في التطبيق يسمح لـ «فيسبوك» -مالك التطبيق- وآخرين باعتراض والاطلاع على الرسائل المشفّرة.
وأوضحت الصحيفة أنه على الرغم من إدعاء فيسبوك أنه لا يمكنها اعتراض رسائل Whatsapp إلا أن «بحثا جديدا يظهر أن الشركة يمكنها قراءة الرسائل بسبب الطريقة التي نفذت بها Whatsapp بروتوكول التعمية المتبادلة بين طرفين End-to-end encryption».
وأضافت الصحيفة أن واتس آب يمكنه إنتاج مفاتيح تعمية جديدة للمستخدمين غير المتصلين باﻹنترنت دون علم مرسلي ومستقبلي الرسائل، وإجبار المرسل على إعادة تعمية الرسائل باستخدام المفاتيح الجديدة وإعادة إرسالها، وذلك بالنسبة للرسائل التي لم يتم تأكيد استلامها.
ويحدث إنتاج المفاتيح الجديدة في حالات متعددة منها على سبيل المثال حذف التطبيق وإعادة تثبيته أو تغيير التليفون.
ويشرح أحمد غربية، المتخصص في تقنية المعلوماتية والخصوصية الرقمية، أنه في هذه الحالة يقوم واتس آب بإنتاج مفاتيح جديدة إذا قمت بإرسال رسالة عبره وتغير مفتاح المستقبِل لأي سبب من اﻷسباب قبل استقبال الرسالة، يقوم واتساب بإعادة تعمية الرسالة وإرسالها باستخدام المفتاح الجديد.
وطبقًا لتقرير الغارديان، فإن عملية إعادة التعمية واﻹرسال تسمح لواتس آب باعتراض وقراءة رسائل المستخدمين.
وأوضحت شركة Open Whisper Systems -مطوّرة تطبيق المحادثات اﻵمن Signal ومطوّرة بروتوكول الحماية الذي يستخدمه واتس اب- في بيان لها أن ما وصفته الغارديان باعتباره بابا خلفيا هو في الحقيقة «الطريقة التي تعمل بها التعمية» مؤكدة أن «أي محاولة لاعتراض الرسائل أثناء نقلها عبر الخادوم يمكن استشعارها بواسطة المرسل».
وأضاف البيان أن السؤال الذي قد يكون منطقيًا هو ما إذا كان المفترض من واتس آب طلب تأكيد المستخدم للمفتاح الجديد قبل الاستمرار أو الاكتفاء بعرض تنويه؟، واعتبر البيان أنه «بوضع حجم قاعدة المستخدمين لواتساب فإن اختيارهم الاكتفاء بعرض تنويه هو اﻷنسب».
ويعتبر غربية أنه إلى جانب التعمية، فإن خطوة أخرى على نفس القدر من اﻷهمية لا بد تذكرها وهي الاستيثاق، «حين تتغير المفاتيح، لا بد من الاستيثاق من الطرف الثاني في المحادثة عير قناة اتصال مختلفة للتأكد من أن الطرف الثاني هو الطرف المعني بالاتصال» وذلك لتجاوز أي محاولات للعبث بالاتصال.
ويضيف غربية أنه في كل اﻷحوال لا يمكن الجزم بأمان عملية الاتصال عبر واتس اب ﻷن الشفرة المصدرية للتطبيق نفسه ما زالت مغلقة لا يمكن للخبراء اﻹطلاع عليها، ويقول: «الشفرة المصدرية لبروتوكول سيجنال مفتوح ويمكن التأكد منه، لكننا لا نعرف ما إذا أضافت فيسبوك إليه أو أجرت عليه أي تعديلات».
ويستكمل أنه إذا استخدم فيسبوك بروتوكول سيجنال دون تعديل فإن الاتصالات آمنة، لكنه استدرك أن «هذا أمر لا يمكن الجزم به».
كان واتس اب قد أعلن البدء في تعمية كافة الرسائل بين مستخدمي التطبيق في أبريل/نيسان 2016 بعد تعاون بينها وبين شركة Open Whisper Systems.
