ایراد اساسی در الگوریتم رمزنگاری WhatsApp

همان‌طور که در اخبار پیشین آماده است، به تازگی نرم‌افزار پیام‌رسان WhatsApp مورد نفوذ قرار گرفته است و الگوریتم رمزنگاری پیام‌های آن به دست محققین و نفوذگران نیز رسیده است، البته توصیه‌ی مسئولان امنیتی این است که به هیچ عنوان از این نرم‌افزار تا اعلام رسمی توسعه‌دهدگان برای انتقال پیام‌ها استفاده نکنید، در این بین محققین شروع به بررسی الگوریتم رمزنگاری این نرم‌افزار کرده‌اند و به نتایج جالبی دست یافته‌اند.

 

یک محقق هلندی بر این باور است که راه‌کار امنیتی مورداستفاده در پیام‌رسان محبوب WhatsApp دچار ایراد اساسی است. به گفته‌ی وی تولیدکنندگان این نرم‌افزار آن‌چنان که باید این راه‌کار را توسعه نداده‌اند و کاربران باید در جریان باشند که پیام‌های آن‌ها به سادگی از سوی نفوذگران قابل دسترسی است.

 

WhatsApp تا کنون با مشکلات امنیتی مختلفی دست و پنجه نرم کرده است و علیرغم تعبیه‌ی امکان رمزنگاری پیام‌ها در سال ۲۰۱۲، هنوز اعلام نکرده است که دقیقاً از چه راه‌کاری برای رمزنگاری استفاده می‌کند.

 

اخیراً محققی به نام تیس آلکه‌ماده از دانشجویان دانشگاه اوترخت و یکی از برنامه‌نویسان برتر پیام‌رسان متن‌باز Adium برای سامانه‌عامل MAC OS X، با بررسی‌های به پاسخ این سؤال رسیده است؛ WhatsApp از یک کلید رمزنگاری RC4 برای پیام‌های دوطرف استفاده کرده و برای احراز هویت پیغام‌ها هم از یک کلید HMAC استفاده می‌نماید.

 

به گفته‌ی آلکه‌ماده «یک MAC به‌تنهایی نمی‌تواند همه‌ی انواع خرابکاری را شناسایی کند: یک نفوذگر می‌تواند به راحتی پیام‌های خاص ارسال کند، پیام‌ها را جایگزین نماید و یا حتی آن‌ها را به فرستنده ارجاع دهد. در استاندارد TLS با قرار دادن یک شماره‌ی سری در متن هر یک از پیام‌ها و نیز استفاده از یک کلید HMAC متفاوت برای پیام‌های ارسالی از نرم‌افزار به کارگزار و همچنین یک کلید دیگر برای پیام‌های ارسالی از کارگزار به نرم‌افزار این‌ امکان از نفوذگران سلب می‌شود. متأسفانه WhatsApp چنین عمل نکرده و همان کلیدی که برای RC4 استفاده شده را برای HMAC هم استفاده می‌کند.»

 

وی برای اثبات این امر اسکریپتی را به زبان پایتون2 تولید کرده است که می‌تواند پیام‌های ارسالی به WhatsApp را ردگیری نموده و با حدس زدن همه‌ی پیام‌های خروجی، پیام‌های ورودی به برنامه را رمزگشایی نماید.

 

زمانی که از وی خواسته شد تا ادعای خود را با استفاده از نرم‌افزار رسمی WhatsApp اثبات نماید، وی نشان داد که نسخه‌های S60 و اندروید این نرم‌افزار هر دو از آسیب‌پذیری مذکور رنج می‌برند.

 

به گفته‌ی آلکه‌ماده «شما باید چنین فرض کنید که هر کس که بتواند ارتباط WhatsApp شما را ردگیری نماید توانایی رمزگشایی از آن را نیز داراست و به همین دلیل شما باید همه‌ی گفت‌و‌گوهای قبلی خود در این نرم‌افزار را در معرض خطر بدانید.» وی همچنین ادامه داد که کاربران در این زمینه کاری نمی‌توانند انجام دهند و تنها راه‌حل این است که برای مدتی از این پیام‌رسان استفاده نکنند تا ایردات آن برطرف شود.

 

البته به نظر می‌رسد که راه حل ساده و به گفته‌ی آلکه‌ماده «توسعه‌دهندگان WhatsApp کافی است که شیوه‌ی رمزنگاری کنونی را با شیوه‌های مطمئن‌تری همچون TLS جایگزین کنند که بیش از ۱۵ سال است به طور مداوم در حال بهبود و ارتقا است.»