- لا تؤثر الثغرة على سرية محتوى الرسائل، لكنها تكشف هوية الأشخاص الذين يتبادلون الرسائل فيما بينهم، وربما عضويتهم في المجموعات الخاصة.
- يدرك الفريق الأمني في واتس آب هذه الثغرة والمخاطر التي تشكلها على فئات معينة من المستخدمين.
- يصعب إصلاح الثغرة الأمنية دون المساس بسهولة استخدام التطبيق، حيث إن إجراءات الحماية الأقوى ستؤدي إلى نتائج سلبية.
في مارس الماضي، أصدر الفريق الأمني في واتس آب تحذيرًا داخليًا جاء فيه: “على الرغم من استخدام التطبيق لتشفير قوي، لا يزال المستخدمون عرضة لنمط خطير من الرقابة الحكومية. تظل محتويات المحادثات بين 2 مليار مستخدم للتطبيق آمنة، لكن الحكومات “تتجاوز تشفيرنا” للتعرف على المستخدمين الذين يتواصلون مع بعضهم البعض، وعضوية المجموعات الخاصة بهم، وربما حتى مواقعهم الجغرافية”.
وحسب التحذير، الذي كشفه تقرير لـThe Intercept، فإن الرقابة تتم عبر ثغرة مستندة إلى “تحليل حركة المرور على الإنترنت” (traffic analysis)، وهي تقنية مراقبة قديمة تعتمد على تحليل حركة الإنترنت على نطاق الدولة كاملة. ومن خلال استخلاص البيانات الوصفية من الاتصالات عبر تطبيق واتس آب، تستطيع الحكومات التعرف على من يتحدث مع من، ومتى، وأين. واستشهد التقرير بتصريح لرئيس وكالة الأمن القومي الأمريكي السابق مايكل هايدن: “نقتل الناس استنادًا إلى البيانات الوصفية”.
البيانات الوصفية (Metadata) هي المعلومات التي تصف وتوفر سياقًا حول البيانات الأخرى. في سياق الاتصالات، تتضمن البيانات الوصفية معلومات عن من أرسل الرسالة، وإلى من، ومتى أرسل الرسالة، والموقع الجغرافي للاتصال. على سبيل المثال، في الرسائل النصية (SMS)، تشمل البيانات الوصفية معلومات مثل أرقام الهواتف المرسلة والمستلمة، ووقت وتاريخ إرسال الرسالة، وربما موقع الإرسال وفقًا لمكان الاتصال بالشبكة (البرج الخلوي) وقت إرسال الرسالة.
إذن، البيانات الوصفية هي بيانات توصف البيانات الأصلية. على سبيل المثال، إذا التقطت صورة من هاتفك، تحتوي الصورة على معلومات أخرى مثل تاريخ التقاط الصورة، ونوع الهاتف الذي التقطت منه الصورة، والموقع الجغرافي الذي التقطت فيه الصورة.
البيانات الوصفية لا تكون عادة مرئية للمستخدمين العاديين، إلا أنها تكون قابلة للاستخراج والتحليل من قبل الجهات الرقابية أو المخترقين. ويمكن استخدامها لفهم أنماط الاتصال والتفاعل بين الأفراد والمجموعات، مما يمكن أن يؤثر بشكل كبير على الخصوصية والأمان الشخصي والرقمي.
على الرغم من أن محتويات الرسائل والمحادثات في واتس آب غير قابلة للاطلاع لغير أطراف المحادثة، نظرًا لاستخدام التطبيق للتشفير الشامل من الطرف إلى الطرف، وهو التشفير الذي يضمن عدم قدرة أحد على الاطلاع على محتوى الرسائل على طول الطريق، حتى شركة ميتا نفسها المالكة لتطبيق واتس آب، إلا أن ثغرة “تحليل حركة المرور على الإنترنت” تسمح للحكومات -مع قدرتها على الوصول إلى البنية التحتية للإنترنت- بمراقبة متى وأين تحدث الاتصالات المشفرة. هذه النظرة كافية لاستخلاص استنتاجات قوية حول الأفراد الذين يتحدثون مع بعضهم البعض، حتى لو ظلت موضوعات محادثاتهم غامضة.
أوضح “التحذير” أنه يمكن للحكومات بسهولة معرفة متى يستخدم شخص ما واتس آب، لأن البيانات يجب أن تمر عبر شركات الإنترنت داخل الدولة إلى خوادم واتس آب. ومن ثَم يمكن مراقبة مستخدمي واتس آب معينين عن طريق تحليل اتصالاتهم بالإنترنت من خلال عنوان IP الخاص بهم.
ومثالًا على عملية المراقبة، إذا أرسل مستخدم لتطبيق واتس آب رسالة إلى مستخدم آخر أو مجموعة تضم أكثر من مستخدم داخل التطبيق، سيتم إرسال رشقة من البيانات بنفس الحجم بالضبط إلى جهاز كل شخص في تلك المجموعة. تتضمن عمليات المراقبة قياس التأخير الزمني بين إرسال واستلام رسائل واتس آب بين الأطراف، وهي وفقًا لتحذير الفريق الأمني، معلومات كافية “لتحديد الموقع الجغرافي لكل مستلم”.
ويحدد التحذير، أن هذه الهجمات تتطلب من جميع أعضاء مجموعة واتساب أو كلا جانبي المحادثة أن يكونوا على نفس شبكة مزود خدمة الإنترنت أو في نفس الدولة، أو في دولة تعد جزءًا من تكتل أمني لعدد من الدول، وهو إشارة إلى تحالف Five Eyes للتعاون الاستخباراتي بين الولايات المتحدة وأستراليا وكندا والمملكة المتحدة ونيوزيلندا.
لا يصف هذا “التحذير” حالات محددة لحكومات استخدمت هذا الأسلوب. ولكنه يستشهد بتقارير موسعة بين نيويورك تايمز والعفو الدولية تظهر كيف تتجسس الحكومات حول العالم على تطبيقات المحادثة المشفرة، بما في ذلك واتس آب، باستخدام نفس التقنيات.
وعلى خلفية الحرب على قطاع غزة، أثار التحذير الذي أصدره فريق الأمن بواتس آب، القلق بين بعض موظفي ميتا. إذ يعتقدون أن إسرائيل قد تستغل هذه الثغرة كجزء من برنامجها لمراقبة الفلسطينيين، في وقت تُستخدم فيه المراقبة الرقمية لتحديد من سيقتل في جميع أنحاء قطاع غزة، بحسب التقرير الذي نشرته The intercept.
في أبريل الماضي، كشف تقرير لمجلة+972، أن الجيش الإسرائيلي يستخدم نظامًا برمجيًا يسمى “لافندر” لتحديد أهداف الاغتيال في غزة تلقائيًا. من خلال تحليل بيانات ضخمة عن 2.3 مليون نسمة من سكان قطاع غزة، يقوم البرنامج بتقييم كل شخص في غزة بتقييم من 1 إلى 100 للتعبير عن مدى احتمالية كونه “متشددًا”، ومع ارتفاع التقييم يصبح الشخص هدفًا للاغتيال.
بالتالي، فهذه الثغرة قادرة على تغذية مثل هذه الأنظمة البرمجية، بالمعلومات التي تُستخدم في تنفيذ العمليات العسكرية ضد مدنيين.
يجدر الإشارة إلى أن هذا النوع من الهجمات ليس مختصًا بتطبيق واتساب فقط، ولكن كل تطبيقات المحادثات عُرضة لنفس التهديد، فحسب تصريح جرين، أستاذ التشفير لـ The Intercept: “خدمات المراسلة اليوم لم يتم تصميمها لإخفاء هذه البيانات الوصفية عن خصم يمكنه رؤية جميع جوانب الاتصال”.
من الممكن تجنب هذا النوع من التهديد من خلال إضافة تأخير اصطناعي للرسائل لمواجهة محاولات تحديد الموقع الجغرافي للمٌرسل والمستقبل، لكن هذا سيجعل التطبيق يبدوا أبطأ للمستخدمين، والذين قد لا يبدي معظمهم اهتمامًا بتخطي المراقبة الحكومية، كما أن لهذه الخطوة أثرًا سلبيًا على عمر البطارية ويرفع استهلاك البيانات.
لا يقدم “التحذير” إجابة نهائية حول كيفية تحرك واتس آب أو ميتا لمعالجة هذه الثغرة الأمنية. ومع ذلك، فإنه يسلط الضوء على التحديات الأخلاقية والتقنية الصعبة التي تواجهها الشركات التي تسعى إلى حماية خصوصية المستخدمين مع توفير منتجات وخدمات سهلة الاستخدام على نطاق واسع.
