قالت صحيفة "الغارديان" إن فجوة أمنية تم العثور عليها في نظام رسائل "
واتساب" المشفر من البداية حتى النهاية، حيث تسمح لشركة "
فيسبوك" وغيرها من الشركات بالتنصت وقراءة الرسائل المشفرة.
ويشير التقرير، الذي ترجمته "
عربي21"، إلى أن مزاعم "فيسبوك" أنه لا أحد بإمكانه التنصت على تطبيق "واتساب" ونظام الرسائل فيه، وحتى الشركة وموظفيها، بشكل يسمح بالخصوصية لمليار مستخدم لهذا النظام في
التواصل الاجتماعي، غير صحيحة، لافتا إلى أن دراسة علمية أثبتت أن الشركة تستطيع قراءة الرسائل؛ نظرا للطريقة التي يطبق فيها بروتوكول التشفير من البداية إلى النهاية.
وتورد الصحيفة نقلا عن المدافعين عن الخصوصية الشخصية، قولهم إن تعرض المستخدمين للتجسس هو "تهديد كبير لحرية التعبير"، وحذروا من قيام مؤسسات الدولة والحكومات بالتنصت على المستخدمين، الذين يعتقدون أن رسائلهم آمنة أو سرية، مشيرة إلى أن تطبيق "واتساب" جعل الخصوصية والأمن العلامة التجارية التي روج من خلالها للتطبيق، حيث أصبح وسيلة محبذة للتواصل وأداة للناشطين والمعارضين والدبلوماسيين.
ويفيد التقرير بأن نظام التشفير في "واتساب" يعتمد على جيل من المفاتيح الأمنية، التي تستخدم النظام المعروف Signal protocol، الذي طورته Open Whisper Systems، وتم الترويج لهما، ولضمان أن التواصل آمن فإنه لا يمكن لوسيط ثالث التنصت عليه، مستدركا بأن تطبيق "واتساب" لديه القدرة على إدخال مفاتيح تشفير إلى المستخدمين غير المرتبطين بالشبكة، ولا يمكن للمرسل أو المستقبل التفطن لها، بشكل يجعل المرسل يقوم بإعادة تشفير الرسائل بمفاتيح جديدة وإرسالها من جديد، لكل رسالة لم تحمل إشارة بأنه تم إرسالها.
وتذكر الصحيفة أن المستقبل لا يعرف أن هناك تغيرا في التشفير، فيما يتم تحذير المرسل إن كان يقبل تحذيرات التشفيرات الموجود في لوحة التطبيقات، لكن بعد إعادة إرسال الرسالة، لافتة إلى أن عملية إعادة التشفير تسمح لتطبيق "واتساب" بالتنصت، أو اعتراض وقراءة رسائل المستخدمين.
ويلفت التقرير إلى أن الباحث في مجال التشفير والأمن في جامعة كاليفورنيا في بيركلي توبياس بويلتر، اكتشف الفجوة الأمنية، وقال: "لو طلبت وكالة حكومية من (واتساب) الكشف عن سجلات الإرسال، فإنها تستطيع السماح لها بالوصول إليها وبشكل فاعل، بسبب تغير المفاتيح".
وتبين الصحيفة أن الفجوة الأمنية ليست أصيلة في Signal protocol، وهو التطبيق الذي استخدمه ونصح به إدوارد سنودين، حيث إنه لو قرر المستقبل تغيير مفتاح الأمن عندما لا يكون مرتبطا بالشبكة، فإن الرسالة التي أرسلها لن تصل إلى المستقبل الذي لا يتم إخباره بالتغير في مفاتيح الأمن، دون أن يقوم بإرسال الرسالة بشكل تلقائي، لافتة إلى أن تطبيق "واتساب" يقوم باتباع وسيلة تلقائية بالنسبة للرسائل التي لم يتم إرسالها، من خلال مفاتيح سرية جديدة، دون أن يحذر المستخدم مقدما، أو منحه القدرة على منعها.
ويكشف التقرير عن أن بويلتر قام بإخبار "فيسبوك" عن الفجوة الأمنية في نيسان/ أبريل 2016، وردت الشركة عليه بأنها تعرف بالموضوع، وأنه "سلوك متوقع"، لكنه لا يستخدم كثيرا، مشيرا إلى أن الصحيفة قامت بالتأكد من الأمر، ووجدت أنه مستخدم.
وتنقل الصحيفة عن مسؤول أمن المعلومات ومكافحة الرقابة الرقمية في المنظمة الأوروبية البحرينية لحقوق الإنسان ستيفان تور جينسن، قوله إنه تأكد من صحة اكتشاف بويلتر، وأضاف: "يمكن لـ(واتساب) الاستمرار في التلاعب بمفاتيح الأمن عندما لا يكون الجهاز خارج التغطية، ويعيد إرسال الرسالة دون معرفة المستخدمين بالتغير، ما يجعله وسيلة تواصل غير آمنة".
ويقول بويلتر: "قد يقول البعض إن هذا الاكتشاف يمكن أن يفتح مجالا للتجسس على رسالة منفردة واحدة وليس على الحوار كله، وهذا ليس صحيحا إذا أخذنا بعين الاعتبار أن تطبيق (واتساب) يمكنه إرسال الرسائل دون إعلام أن (الرسالة وصلت إلى المستقبل) أو العلامتين (علامتي الصح)، ومن خلال عملية إعادة البث فإن تطبيق (واتساب) يقوم بالحصول على نسخة من الحوار كله وليس رسالة منفردة".
ويجد التقرير أن هذا الأمر يطرح أسئلة حول خصوصية الرسائل التي أرسلت عبر الخدمة، التي تستخدم حول العالم، بما في ذلك الناس الذين يعيشون في ظل أنظمة قمعية، وتساءلت المنسقة ومؤسسة مركز البحث في المعلومات والرقابة والخصوصية البروفيسورة كريستي بول، عن وجود الفجوة الأمنية في نظام تشفير "واتساب"، ووصفته بالمنجم للوكالات الاستخباراتية، وبـ"الخيانة الكبيرة للثقة"، وقالت إنه "تهديد كبير لحرية التعبير، فأن تكون قادرا على مشاهدة ما أقول ستجعل المستهلك يقول ليس لدي ما أخفيه، لكنك لا تعرف أي المعلومات التي تمت مشاهدتها ولأي شخص أرسلت".
وتنوه الصحيفة إلى أن بريطانيا أقرت قانون سلطات التحقيق، الذي يسمح للحكومة بالنظر في قاعدة بيانات للمستخدمين لدى الشركات الخاصة، دون أن تكون عرضة للاتهام بنشاطات إجرامية، وهو النشاط ذاته الذي كشف عنه سنودين في وكالة الأمن القومي الأمريكية، لافتة إلى أن الحكومة البريطانية لديها القوة على إجبار الشركات بالاحتفاظ بقدرات تقنية، تسمح بجمع المعلومات من خلال القرصنة والتنصت، وتطلب من الشركات التخلص من "الحماية الإلكترونية" للبيانات.
وبحسب التقرير، فإنه سواء كانت الفجوة الأمنية في تطبيق "واتساب" مقصودة أم غير ذلك، فإنها قد تستخدم بطريقة تسهل عمليات التنصت الحكومية، لافتا إلى قول المدير التنفيذي لـ"أوبن رايتس غروب" جيل كيلوك: "لو زعمت الشركات أنها تعطي تشفيرا من البداية إلى النهاية، فإنه يجب الاعتراف لو كشف أنه تم التخلي عنه، قصدا، من خلال نظام تم إدخاله، أو بسبب مشكلات فنية".
وتختم "الغارديان" تقريرها بالإشارة إلى قول متحدث باسم "واتساب" إن "هناك أكثر من مليار مستخدم لتطبيق (واتساب)؛ لأنه سهل وسريع ويوثق به وآمن، ونؤمن في (واتساب) دائما بأن حوارات الناس يجب أن تكون خاصة وسرية، وقدمنا في العام الماضي لمستخدمينا خدمة أفضل في مجال السرية، وجعلنا من كل رسالة وصورة وفيديو وملف مشفرا من البداية إلى النهاية، ونحن نركز على إدخال التشفير من البداية إلى النهاية، فإننا نركز على بساطة المنتج، ونأخذ بعين الاعتبار الكيفية التي يستخدم فيها حول العالم".