اما اپل می گوید تازه ترین نسخه از سیستم عامل iOS که در ماه ژانویه عرضه شده، دارای وصله های به روزرسان است که از طریق آنها بسیاری از آسیب پذیری های مهمی که به جزییات آنها در اسناد ویکی لیکس اشاره شده، برطرف شده اند.

اپل در بیانیه خود تصریح کرده که مهندسان اپل در تلاش برای رفع مشکلات احتمالی باقی مانده که سازمان سیا از آنها مطلع است، هستند.

بر اساس ۸۷۶۱ برگه سند منتشر شده توسط ویکی لیکس در شب گذشته سازمان جاسوسی سیا از آسیب پذیری ها و حفره های امنیتی سیستم عامل های اندروید و iOS، تلویزیون های هوشمند سامسونگ، خودروهای مختلف و .. برای استراق سمع مکالمات و گپ های افراد و … استفاده کرده است و در این میان جزییات ۱۴ آسیب پذیری مربوط به سیستم عامل iOS هم درج شده است.

اپل به کاربران محصولات خود توصیه کرده هر چه سریع تر آخرین نسخه از iOS را بر روی گوشی ها و تبلت های خود نصب کنند تا از خطرات امنیتی احتمالی و جاسوسی های مختلف در امان بمانند.

یکی از ابزار هکری سیا موسوم به فرشته گریان برای حمله به تلویزیون های هوشمند سامسونگ طراحی شده که آنها را در وضعیت خاموشی قلابی قرار می دهد و کاربر تصور می کند تلویزیون خاموش است. اما در این حالت تمام مکالمات افراد در اتاق ضبط شده و از طریق اینترنت برای سرورهای سیا ارسال می شود.

سیا همچنین در تلاش برای آلوده کردن سیستم های کنترل خودروها و کامیون هاست و در اسناد ویکی لیکس ادعا شده که این آلودگی ها تقریبا غیرقابل شناسایی و غیرقابل کشف هستند.

متخصصان امنیتی می گویند هکرها با طراحی کوکی های قلابی و جعلی توانسته اند به بخشی از زیرساخت های شبکه ای یاهو نفوذ کنند و از داده هایی که به این طریق جمع آوری کرده اند برای نفوذ به حساب های کاربری دیگری سواستفاده کرده اند. هکرها همچنین یک سیستم خودکار برای یافتن اطلاعات ارزشمند و فروش آنها در بازار سیاه ابداع کرده اند.

از جمله اطلاعاتی که هکرها از حساب های کاربران یاهو جمع آوری کرده اند می توان به اطلاعات مالی، سوابق مراقبت های درمانی و … اشاره کرد. اگر چه یاهو می گوید کوکی های جعلی را از کار انداخته تا مجددا قابل استفاده نباشند، اما مشخص نیست آیا نفوذ به شبکه یاهو متوقف شده است یا خیر.

کارشناسان امنیتی می گویند با توجه به ضعف های امنیتی شبکه های رایانه ای یاهو و سیستم ایمیل آن این خطر وجود دارد که هکرها راه تازه ای برای نفوذ به حساب های کاربری ایمیل یاهو بیابند.

به گزارش عصر ارتباط، در حالی که کارشناسان معتقدند برخی از انواع این اپلیکیشن‌ها سطح ایمنی بالاتری دارند، همچنان می‌توان منتظر کشف حفره‌های امنیتی جدید در آنها بود. همین مساله باعث شده است تا کارشناسان پیدا کردن یک اپلیکیشن ارتباطی کاملا ایمن را مانند پیدا کردن تخم طلا بدانند.

اپلیکیشن‌های بی‌دفاع

جمعه گذشته گروهی از هکرها موفق شدند با استفاده از یک حفره امنیتی در واتس‌اپ که بزرگترین ابزار ارتباطی اینترنتی محسوب می‌شود، کاربران آن را مورد حمله قرار دهند. این حفره امنیتی مربوط به بخشی می‌شد که پیام‌های رد و بدل شده بین کاربران را رمزگذاری می‌کرد و هکرها توانستند با یک دستکاری ساده باعث شوند حتی کاربرانی که اجازه دسترسی به پیام‌های رمزگذاری شده را دارند، باز هم نتوانند این پیام‌ها را بخوانند. واتس‌اپ از یک کلید امنیتی منحصر به‌فرد استفاده می‌کند تا هنگام ارسال پیام‌ آن را رمزگذاری کند و زمانی که فرد مقابل دسترسی دارد، پیام برای او رمزگشایی شود. ولی با حفره امنیتی موجود هکرها موفق شدند این کلید را از کار بیندازند و اختلالات امنیتی گسترده به وجود آورند.

مشکل مذکور به گونه‌ای بروز کرد که کاربران آفلاین نتوانستند به کلیدهای مخصوص رمزگذاری دسترسی داشته باشند که البته باید گفت این اتفاق در بین اپلیکیشن‌های ارتباطی معمول به نظر می‌رسد. ولی واتس‌اپ سیستم خود را به گونه‌ای طراحی کرده است که به مشترکان امکان می‌دهد با کلیدهای جدید پیام‌ها را دوباره رمزگذاری کنند و این اتفاق بدون اطلاع فرستنده یا گیرنده پیام صورت گیرد.

اختلال در این سیستم به هکرها امکان می‌دهد بدون آنکه فرستنده یا گیرنده پیام مطلع باشد، امکان خواندن آن فراهم شود. از این رو واتس‌اپ مجبور شده است برای ایمنی هرچه بیشتر در سیستم رمزگذاری کاربر-به-کاربر تمهیدات جدید بیندیشد و مشترکان خود را به دردسر نیندازد.

البته حل این مشکل کار چندان دشواری به نظر نمی‌رسد و واتس‌اپ ادعا کرده است اپلیکیشن آن هیچ‌گونه در مخفی را شامل نمی‌شود تا مراکز دولتی بتوانند به اطلاعات کاربران دسترس داشته باشند. «برایان آکتون» یکی از بنیانگذاران واتس‌اپ پس از حمله هکری جمعه اظهار داشت اپلیکیشن ارتباطی آنها با هرگونه اختلال دولتی برای دسترسی به اطلاعات شخصی کاربران مقابله می‌کند و تاکنون با تمام درخواست‌ها برای انتشار این اطلاعات مخالفت کرده است.

کاربران بلاتکلیف

با وجود اینکه مشکل مذکور توانست دردسرهای فراوان را برای کاربران ایجاد کند، ولی مدیران واتس‌اپ اعلام کردند این اختلال در دسته حملات سایبری بحرانی طبقه‌بندی نمی‌شود تا کاربران مجبور شوند اپلیکیشن را از روی گوشی هوشمند خود پاک کنند. در بیانیه واتس‌اپ گفته شد کاربرانی که در این زمینه نگران هستند می‌توانند وارد بخش تنظیمات ابزار ارتباطی شوند و در آنها مشخص کنند هر زمان که پیام آنها دوباره رمزگذاری شد، در جریان قرار بگیرند.

البته این توصیه چندان هم کاربردی به نظر نمی‌رسد. زیرا با این اتفاق کاربران دو گزینه مبنی بر بلاک کردن یا عدم بلاک کردن کاربر مقابل را پیش‌رو دارند. در هر دو بخش کاربران مجبورند حفظ ایمنی خود را در این ابزار ارتباطی به صورت دستی انجام دهند و کلیدهای جدید رمزگذاری را از این طریق شناسایی کنند که این روش مناسبی محسوب نمی‌شود.

همچنین باید توجه داشت زمانی که نمایشگر گوشی قفل است و پیام‌های اطلاع‌رسان واتس‌اپ روی آن منتشر می‌شود، این پیام‌ها رمزگذاری نمی‌شوند. اپلیکیشن ارتباطی سیگنال که این روزها بسیار مورد توجه قرار گرفته است و مانند واتس‌اپ پیام‌ها را رمزگذاری می‌کند، پروتکل مشابه واتس‌اپ، مسنجر فیسبوک و … را به کار می‌برد و البته روش‌های کارآمدتری در این زمینه ارایه کرده است. این اپلیکیشن در شرکتی به نام OWS توسعه می‌یابد و «موکسی مارلین‌اسپایک» مدیر شرکت در این خصوص توضیح داد که سیگنال در نظر دارد امکان مسدودسازی پیام‌های اطلاع‌رسانی روی نمایشگر گوشی را متوقف کند و کاربران در صورت تمایل بتوانند آن را فعال کنند.

او گفت: «بازخوردی که از مردم گرفتیم این بود که آنها تمایل ندارند این پیام‌ها مسدود شود. ولی برای ایمنی بیشتر این قابلیت را در اختیار آنها می‌گذاریم تا بتوانند در صورت تمایل از خود مراقبت کنند. اپلیکیشن‌های مشابه، این گزینه را در اختیار مشترکان خود نمی‌گذارند».

چه کار باید کرد؟

با توضیحات مذکور این مساله مطرح می‌شود که کدام یک از دو فرآیند رمزگذاری یا برقراری امنیت می‌تواند کاربران را به دردسر بیندازد. «آلان دوریک» مدیر مرکز فناوری شرکت توسعه‌دهنده اپلیکیشن ارتباطی وایر در این خصوص گفت: «این مساله بسته به شرکتی است که ابزار ارتباطی را توسعه می‌دهد و تصمیماتی که شرکت مذکور برای رمزگذاری یا برقراری امنیت به روش‌های دیگر می‌گیرد، می‌تواند کاربران را به دردسر بیاندازد. این مساله برای واتس‌اپ بسیار مشکل است که بتواند پیام‌های بیش از یک میلیارد مشترک خود را مسدود کند تا ایمنی در آن برقرار شود. البته روشی هم که واتس‌اپ هم‌اکنون دنبال می‌کند چندان کاربردی و مفید به نظر نمی‌رسد».

البته باید توجه داشت که در این زمینه روش‌های دیگر هم مورد استفاده قرار می‌گیرد و به عنوان مثال Allo گوگل و مسنجر فیسبوک به صورت متفاوت امنیت کاربران را برقرار می‌کنند. این دو ابزار ارتباطی بخشی را با نام «ارتباط مخفی» در اختیار کاربران می‌گذارند تا آنها در صورت تمایل بتوانند از این طریق امکان دسترسی به اطلاعات مربوطه را برای همه غیرممکن کنند. این فرآیند با رمزگذاری داده در مبدا و مقصد تفاوت دارد.

اپلیکیشن‌هایی شبیه سیگنال و وایر در کنار ابزارهای مشابه مشترکان خود را مجبور می‌کنند به روش آنها ارتباط برقرار کنند که البته این فرآیند چندان مورد توجه قرار نگرفته است. در مقابل، واتس‌اپ هم با فرآیندهای خود نتوانسته است اعتماد کاربران را جلب کند و تلگرام، مسنجر فیسبوک و … نیز هر کدام اختلالاتی به همراه داشتند و در اتفاقات مختلف مشترکان خود را با مشکل مواجه کردند.

به هر حال، جدا از اینکه کاربران چه اپلیکیشن موبایلی را برای برقراری ارتباطات اینترنتی مورد استفاده قرار می‌دهند باید به این مساله توجه کرد که هیچ‌ یک از این ابزارها را نمی‌توان یک اپلیکیشن کاملا ایمن معرفی کرد.