امنیت بیشتر در اپلیکیشن‌های پیام‌رسان

0

رمزنگاری دوطرفه در حال تبدیل‌شدن به استانداردی است که بسیاری از اپلیکیشن‌ها ادعا می‌کنند با به‌کارگیری آن، از حریم شخصی کاربران‌شان حفاظت می‌کنند. اما همه‌ی روش‌های رمزنگاری به یک اندازه موثر نیستند. در ادامه اطلاعات بیشتری را پیرامون امنیت در اپلیکیشن‌های پیام‌رسانی در اختیارتان می‌گذاریم.

در ماه آوریل ۲۰۱۶، «واتس‌اپ» (WhatsApp) و «وایبر» (Viber) هر دو اعلام کردند که یک لایه‌ی امنیتی برای محافظت از پیام‌های کاربران‌شان در برابر نظارت‌ها و جاسوسی‌ها اضافه کرده‌اند. این لایه طوری طراحی شده از لحاظ فنی امکان دسترسی به پیام‌های کاربران را در برابر هکرها، فشارهای دولتی و حتی خود این شرکت‌ها ناممکن می‌کند. در این برهه واتس‌اپ با بیش از یک میلیارد کاربر و وایبر با بیش از هفت‌صد میلیون کاربر با اضافه کردن قابلیت رمزنگاری پیام‌ها، زمینه را برای بهره‌مندی کاربران عادی‌شان از این ویژگی‌های امنیتی مهیا کرده‌اند؛ امکانی که تابه‌حال تنها خوره‌ها و گیک‌ها با میزان مشخصی از دانش و تخصص در حوزه‌ی امنیت و رمزنگاری، امکان استفاده از آن را داشتند.

اما قابلیت رمزنگاری ارایه‌شده، کامل نیست. اگر چه واتس‌اپ و وایبر در حال تبلیغ امکان رمزنگاری در بستر خود هستند، اما در واقع نیاز به فعال‌سازی و اعمال برخی تغییرات برای دست یافتن به سطح معقولی از امنیت ضروری‌ست. بررسی برخی تنظیمات و سرویس پشتیبان در این سرویس‌ها -که در ادامه در خصوص هر دو توضیح داده شده- کمک می‌کند که به طور کامل از قابلیت رمزنگاری دوطرفه در این دو اپلیکیشن بهره ببرید.

app

«فیلیپو والسوردا» (Filippo Valsorda) مهندس کریپتوگرافی شرکت امنیتی CloudFlare که امکانات جدید واتس‌اپ و وایبر را بررسی کرده می‌گوید: «امنیت جادو نیست و واتس‌اپ هم هیچ جادویی برای حفاظت از همه در برابر نظارت‌های پنهان به کار نمی‌بندد. هنوز چیزهایی هست که شما باید برای اطمینان از قابلیت رمزنگاری دوطرفه در این دو اپلیکیشن، اعمال کنید. بخش اصلی اطلاعاتی که عموم مردم باید از آن مطلع باشند در این میان ناگفته مانده است.»

نکته‌ی اول: فعال‌سازی تایید کلید

به گفته‌ی مهندس کریپتوگرافی شرکت CloudFlare، در اپلیکیشن واتس‌‌‌اپ نکته‌ای مهم برای احراز هویت مخاطب وجود دارد .برای ضمانت رمزنگاری، لازم است که حتما شخص موردنظرمان امکان رمزگشایی پیام‌ها را داشته باشد؛ اما ضرورت دارد مخاطب نیز ثابت کند همان است که باید باشد.

برای این کار، واتس‌اپ و سایر ابزارهایی که از امکان رمزنگاری دوطرفه استفاده می‌کنند، امکان بررسی کلیدهای منحصربه‌فرد خود را به یکدیگر می‌دهند. این کلیدها با نام Key Fingerprint شناخته می‌شوند؛ آن‌ها در واقع نسخه‌ی کوتاه‌شده‌ی کلیدهای منحصربه‌فردی هستند که واتس‌اپ برای شناسایی هویت کاربر ذخیره می‌کند. اما مشکل اینجاست که تنظیمات پیش‌فرض واتس‌اپ، به هنگام تغییر Key Fingerprint یک مخاطب، آن را به شما اعلام نمی‌کند. اگر کلید عمومی مخاطبی تغییر کند، معانی مختلفی می‌تواند داشته باشد؛ احتمالا او گوشی جدیدی خریده یا واتس‌اپ را از گوشی‌اش پاک کرده و دوباره نصبش کرده. به‌هرحال در صورتی‌که کلید به‌واسطه‌ی عملکرد کاربر تغییر کرده باشد، حتی ناآگاهی از این تغییر نیز مشکلی ایجاد نمی‌کند. اما وضع می‌تواند بدتر باشد؛ اگر شما از تغییر کلیدها آگاه نشوید، ممکن است کسی از طریق حمله‌ی Man-in-the-middle تلاش کند خود را دوست یا همکار شما جا بزند و بدین ترتیب امکان رمزگشایی پیام‌ها پیش از رسیدن به مخاطب موردنظر برایش ممکن می‌شود.

خوشبختانه در واتس‌اپ امکانی تحت عنوان Security Notification وجود دارد که با فعال کردن آن می‌توانید در صورتی‌که کلید کاربری تغییر کرد، مساله را به‌صورت خودکار به شما اطلاع دهد. برای فعال‌سازی این قابلیت، در تنظیمات واتس‌اپ و در بخش Accounts، گزینه‌ی Security را تپ کرده و گزینه‌ی Show Security Notifications را روشن کنید. توجه داشته باشید که بدون روشن کردن این گزینه، در صورت تغییر کلیدهای مخاطبان شما در واتس‌اپ، شما مطلع نمی‌شوید و این مساله می‌تواند امنیت و حریم شخصی شما را -با وجود رمزنگاری دوطرفه- به‌راحتی به خطر بیاندازد.

در اپلیکیشن وایبر اما قضیه تا حدودی متفاوت است. در وایبر لازم است عملیات تایید مخاطب و ابزاری که استفاده می‌کند به‌صورت دستی انجام شود. پس از آن وایبر کلید مربوط به آن مخاطب را نگه می‌دارد. آن‌طور که در صفحه‌ی سوالات متداول بخش امنیت سایت وایبر آمده، یک مخاطب تنها زمانی تایید می‌شود که یک مکالمه‌ی صوتی با او برقرار و در حین مکالمه -پس از اطمینان از هویت مخاطب- روی آیکون قفلی که روی صفحه وجود دارد تپ شود. از آن لحظه به بعد، پیام‌های آن مخاطب به رنگ سبز در می‌آید و در صورتی‌که کلید عمومی او تغییر کند، پیام‌ها به رنگ قرمز در می‌آیند.

1-8

در صورتی‌که عملیات احراز هویت و قفل کردن (ثبت کلید) در مکالمه‌ی صوتی انجام نشود، مخاطب می‌تواند بدون اینکه شما متوجه شوید، کلید عمومی خود را تغییر دهد. پس لازم است این تایید ثانویه با مخاطبانی که اطلاعات مهمی با آن‌ها ردوبدل می‌کنید، حتما انجام شود.

‌‌‌‌‌‌

نکته‌ی دوم: غیرفعال‌سازی پشتیبان‌گیری در سرویس‌های ابری

با وجود کلیدهای عمومی، همه‌ی کسانی که از اطلاعات اپلیکیشن پیام‌رسان خود نسخه‌ی پشتیبان تهیه می‌کنند، ممکن است با مشکلات جدی مواجه شوند. چراکه در اکثر مواقع، نسخه‌های پشتیبان اپلیکیشن‌های پیام‌رسان، بدون رمزنگاری ذخیره می‌شوند. در بهترین حالت، رمزنگاری آن‌ها با سیستمی که تنها کلید را محافظت می‌کند انجام می‌شود و پیام‌ها کماکان رمزنگاری‌نشده باقی می‌مانند.

در واتس‌اپ و وایبر، با وجود رمزنگاری موجود، پیام‌ها به‌محض پشتیبان‌گیری روی iCloud یا Google Drive، بدون رمزنگاری در این سرویس‌ها ذخیره می‌شوند. این مساله، ریسک دسترسی هکرها، دولت و حتی شرکت‌های اپل و گوگل به متن پیام‌هایتان را به‌شدت افزایش می‌دهد. به گفته‌ی«جاناتان زدزیارسکی» (Jonathan Zdziarski) ‌مشاور امنیت در زمینه‌ی سیستم عامل iOS، اگر شما اپلیکیشنی دارید که امکان پشتیبان‌گیری روی iCloud را دارد، تنها دلیل استفاده از آن باید بازیابی اطلاعات روی یک ابزار دیگر باشد .پس پشتیبان‌گیری از پیام‌های رمزنگاری شده که قرار نیست روی ابزاری دیگر قابل‌خواندن باشند، چه سودی [به‌جز نقض رمزنگاری در وهله‌ی اول و تقدیم اطلاعات پیام‌ها به همه] دارد؟

2-7

در آیفون، امکان خاموش کردن قابلیت پشتیبان‌گیری ساده است. کافیست در تنظیمات، به اپلیکیشن واتس‌اپ مراجعه کرده و در قسمت Backup Options، قابلیت پشتیبان‌گیری را خاموش کنید. به‌علاوه لازم است امکان پشتیبان‌گیری را از داخل اپ (قسمت تنظیمات و بخش Chat Backup) نیز خاموش کنید.

در اندروید، لازم است امکان پشتیبان‌گیری گوگل ‌درایو از اپلیکیشن واتس‌اپ را خاموش کرد. به‌علاوه باید توجه داشت که پشتیبان‌گیری از طریق سایر اپلیکیشن‌ها -مانند دراپ‌باکس- نیز انجام نشود.

پس حتما توجه داشته باشید که برای رمزنگاری کامل و همیشگی پیام‌های شما در واتس‌اپ و وایبر، هرگز نباید از قابلیت پشتیبان‌گیری پیام‌های این دو پیام‌رسان، بر روی هیچ نرم‌افزار یا سرویسی استفاده کرد.

توجه داشته باشید که با غیرفعال کردن نسخه‌ی پشتیبان، در صورت خرابی یا گم شدن تلفن هوشمند‌تان، امکان بازیابی داده‌ها وجود نخواهد داشت. البته این قابلیت مثبتی‌ست که در ازای رمزنگاری پیام‌ها نصیب شما می‌شود. «متیو گرین» (Matthew Green) متخصص کریپتوگرافی، از این مساله به عنوان  Mud Puddle Test (آزمون چاله‌‌ی گل) یاد می‌کند. اگر شما تلفن‌تان را درون چاله‌ی گل بیاندازید و سپس خودتان نیز در آن چاله بیفتید، سرتان ضربه بخورد و تمامی رمزهای عبور خود را فراموش کنید، آیا کماکان امکان بازیابی اطلاعات پیام‌رسان‌های‌تان وجود دارد؟ اگر این امکان با کمک رمز عبور حساب اپل یا گوگل یا بازیابی رمزعبور آن‌ها وجود داشته باشد، پیام‌ها در واقع رمزنگاری شده نبوده‌اند.

اپلیکیشن پیام‌رسان «سیگنال» (Signal) که به‌وسیله‌ی ادوارد اسنودن توصیه می‌شود، امن‌ترین گزینه‌ی ممکن برای رمزنگاری پیام‌هاست و «آزمون چاله‌ی گل» را با موفقیت می‌گذراند. چراکه پیام‌های داخل اپلیکیشن سیگنال، در تلفنی که در چاله گل بیفتد و نابود شود، غیرقابل‌دسترس خواهند بود.

توجه داشته باشید که شاید همه‌ی افراد علاقه‌ای به از دست دادن پیام‌های خود در برابر رمزنگاری آن‌ها نداشته باشند؛ در صورتی‌که مخاطب شما یکی از این افراد باشد، حداقل پیام‌های ردوبدل شده بین شما و آن فرد، به‌واسطه‌ی پشتیبان‌گیری ممکن است در خطر باشد و این شما هستید که ریسک مکاتبه و مکالمه با آن فرد را می‌پذیرید. در این صورت بهتر است به‌جای واتس‌اپ یا وایبر از اپلیکیشن سیگنال استفاده شود. بدین‌ترتیب عدم وجود قابلیت پشتیبان‌گیری اطلاعات، میزان اطمینان از امنیت اطلاعات را بیشتر خواهد کرد.

منبع : دیجی مگ

ارسال نظر

لطفا به سوال امنیتی پاسخ دهید *

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.