امنیت واتساپ چقدر است؟ آیا در برابر جاسوسی امن است؟

این پرسش که آیا واتس‌اپ امن است، فقط توسط متخصصان امنیت سایبری مطرح نمی‌شود، بلکه این سؤال ذهن والدین، دانشجویان، کارآفرینان، فعالان و حتی افراد مشهور را نیز به خود مشغول کرده است. با توجه به رسوایی‌هایی که شامل حال شرکت مادر آن، Meta، و افزایش نظارت‌های دولتی و جرائم سایبری پیچیده‌تر، بسیاری از کاربران نگران هستند که آیا در شرایطی که حفظ حریم خصوصی‌شان اهمیت بیشتری پیدا می‌کند، استفاده از واتس‌اپ امن است یا خیر.

به گزارش بخش امنیت رسانه فناوری تکنا، واتساپ با بیش از ۲ میلیارد کاربر، یک غول ارتباطات جهانی و در عین حال یک هدف اصلی برای حملات است. خطرات در اینجا بسیار جدی هستند؛ یک اشتباه کوچک کافی است تا یک عکس شخصی، یک قرارداد محرمانه یا حتی یک تشخیص پزشکی به دست افراد نادرست بیفتد. حقیقت این است که بسیاری از کاربران تصور می‌کنند چت‌هایشان فقط به این دلیل که نماد یک قفل را می‌بینند و عبارت رمزنگاری سرتاسری (end-to-end encryption) را می‌خوانند، محافظت می‌شوند. اما این عبارت واقعاً به چه معناست؟ آیا واتس‌اپ امن است یا ما فقط در یک حس امنیت کاذب فرو رفته‌ایم؟

در پاسخ باید گفت واتس‌اپ از رمزنگاری سرتاسری استفاده می‌کند که اصطلاحی با مفهوم بسیار امن است و از نظر فنی نیز چنین است. این سیستم با همکاری Open Whisper Systems، سازندگان پروتکل Signal، توسعه یافته است و به این معنی است که پیام‌های شما از لحظه‌ای که تلفنتان را ترک می‌کنند تا زمانی که به دست گیرنده می‌رسند، به صورت درهم و ناخوانا درمی‌آیند. این ساختار طراحی شده تا از خواندن محتوای پیام یا گوش دادن به تماس‌ها توسط واتس‌اپ، شرکت مادر آن Meta یا هر شخص ثالثی که ممکن است داده‌ها را در حین انتقال رهگیری کند، جلوگیری کند. پس، آیا استفاده از واتس‌اپ امن است؟ در تئوری، بله؛ اما در عمل، وضعیت پیچیده‌تر است.

محدودیت های واتساپ در رمزنگاری

رمزنگاری سرتاسری واتس‌اپ شامل پیام‌های متنی، فایل‌های رسانه‌ای به اشتراک گذاشته شده مانند عکس، ویدیو و اسناد، پیام‌های صوتی و تماس‌های صوتی و تصویری و همچنین وضعیت‌ها می‌شود. هر ارتباط با یک سیستم قفل و کلید منحصربه‌فرد رمزگذاری می‌شود که به طور مکرر بازتولید می‌شود. این شبیه به ارسال نامه‌ای است که فقط با یک اثر انگشت خاص باز می‌شود. اما در حالی که این سیستم بسیار قوی به نظر می‌رسد، کاربران اغلب آنچه را که رمزنگاری سرتاسری محافظت نمی‌کند نادیده می‌گیرند. اگر پیام‌های شما رمزنگاری شده است، پس مشکل چیست؟ اینجا جایی است که وضعیت پیچیده می‌شود.

واتس‌اپ پیام‌ها را در حین انتقال رمزنگاری می‌کند اما ابرداده‌ها رمزنگاری نمی‌شوند. این داده‌ها شامل اطلاعاتی درباره اینکه شما با چه کسی، چه زمانی و چه مدت صحبت می‌کنید، می‌شود. این مانند آن است که کسی محتوای نامه شما را نبیند اما دقیقاً بداند آن را برای چه کسی، با چه فراوانی و در چه زمانی فرستاده‌اید. پشتیبان‌گیری‌های ابری آسیب‌پذیر هستند. اگر چت‌های شما در Google Drive یا iCloud پشتیبان‌گیری شوند، دیگر تحت حفاظت رمزنگاری سرتاسری نیستند، مگر اینکه شما به طور صریح پشتیبان‌گیری رمزنگاری شده را فعال کنید.

ضعف واتساپ در مقابل بدافزارها

همچنین اگر بدافزاری تلفن شما را آلوده کند، حتی قوی‌ترین رمزنگاری هم از شما محافظت نمی‌کند، زیرا هکرها می‌توانند قبل از رمزنگاری شدن پیام‌ها، از صفحه شما اسکرین‌شات بگیرند، کلیدهای فشرده شده را ثبت کنند یا پیام‌ها را رهگیری کنند. بنابراین، اگرچه واتس‌اپ در تئوری رمزنگاری قوی دارد، اما استفاده در دنیای واقعی اغلب شکاف‌هایی را ایجاد می‌کند که می‌تواند به کابوس‌های حریم خصوصی منجر شود.

تلاش های واتساپ برای تقویت امنیت

واتس‌اپ همچنین ویژگی‌های امنیتی دیگری مانند تأیید هویت دو مرحله‌ای را ارائه می‌دهد که یک پین شش رقمی به حساب شما اضافه می‌کند و هنگام ثبت شماره تلفن دوباره ضروری است. این ویژگی از شما در برابر حملات تعویض سیم کارت محافظت می‌کند. همچنین می‌توانید هنگام تغییر کد امنیتی یک مخاطب، مطلع شوید. این معمولاً زمانی اتفاق می‌افتد که مخاطب دوباره واتس‌اپ را نصب کرده یا تلفن خود را تغییر می‌دهد. اگرچه بیشتر مواقع این اتفاق بی‌خطر است، اما در موارد نادر می‌تواند نشان‌دهنده یک حمله MITM یا ثبت حساب شما توسط شخص دیگری باشد.

احراز هویت بیومتریک نیز در دستگاه‌های پشتیبانی‌شده به شما امکان می‌دهد برای باز کردن واتس‌اپ حتی اگر تلفنتان باز است، نیاز به اثر انگشت یا احراز هویت چهره داشته باشید. این ویژگی لایه دیگری از محافظت در برابر کسی است که ممکن است به طور موقت به تلفن شما دسترسی فیزیکی پیدا کند.

واتس‌اپ اکنون امکان رمزنگاری سرتاسری اختیاری برای پشتیبان‌گیری ابری را نیز فراهم کرده، اما از آنجا که به صورت پیش‌فرض فعال نیست، بسیاری از کاربران پشتیبان‌گیری‌های ابری خود را آسیب‌پذیر باقی می‌گذارند. ویژگی پیام‌های ناپدیدشونده به کاربران اجازه می‌دهد تا پیام‌ها را پس از یک دوره از پیش تعیین‌شده به صورت خودکار حذف کنند و برای کاهش نگهداری طولانی‌مدت داده‌های مکالمه طراحی شده است.

ویژگی «مشاهده یکبار» نیز برای اشتراک‌گذاری عکس‌ها و ویدیوها است که رسانه را پس از یک بار مشاهده توسط گیرنده حذف می‌کند، اما اثربخشی آن محدود است زیرا گیرندگان اغلب می‌توانند با اسکرین‌شات یا دستگاه‌های دیگر محتوا را ثبت کنند. این ویژگی‌ها کنترل بیشتری بر داده‌ها و دسترسی به برنامه به کاربران می‌دهند اما باید محدودیت‌های آن‌ها را در نظر داشت. برای مثال، پیام‌های تایمردار مانع از کپی یا اسکرین‌شات گرفتن از محتوا قبل از حذف خودکار آن نمی‌شوند.

واتس‌اپ مجموعه جدیدی از تنظیمات حریم خصوصی پیشرفته چت را برای چت‌های فردی و گروهی معرفی کرد. این تنظیمات با هدف ارائه کنترل بیشتر به کاربران بر نحوه مدیریت محتوای چت‌هایشان توسط دیگران است و به آن‌ها اجازه می‌دهد از انتقال چت‌ها جلوگیری کنند، دانلود خودکار رسانه‌ها به تلفنشان را مسدود کنند و استفاده از پیام‌ها برای قابلیت‌های هوش مصنوعی را محدود کنند. این ایده برای دشوارتر کردن انتقال یا استفاده از محتوای چت در خارج از واتس‌اپ است. اگرچه این افزودنی‌ها مزایای ملموسی ارائه می‌دهند، اما پیچیدگی‌هایی نیز ایجاد می‌کنند و ممکن است همیشه به نگرانی‌های اساسی‌تر مانند جمع‌آوری گسترده ابرداده‌ها نپردازند

آسیب پذیری واتساپ

حتی با وجود رمزنگاری سرتاسری واتس‌اپ برای محتوای پیام‌ها، این پلتفرم همچنان در برابر مسائل امنیتی آسیب‌پذیر است. چند حادثه امنیتی واقعی در گذشته با واتس‌اپ مرتبط بوده‌اند. این حوادث نشان می‌دهند که مشکل فراتر از رمزنگاری پیام‌ها در حین انتقال است و شامل برنامه‌های کاربری، دستگاه‌های پایانی و عامل انسانی نیز می‌شود. یک آسیب‌پذیری با شدت بالا در واتس‌اپ برای ویندوز فاش شد که به مهاجمان امکان می‌داد فایل‌های اجرایی مخرب را به عنوان فایل‌های بی‌ضرر مانند تصاویر پنهان کنند.

اگر کاربر چنین فایلی را در واتس‌اپ باز می‌کرد، می‌توانست به اجرای کد دلخواه روی سیستم آن‌ها منجر شود. در مارس ۲۰۲۵، شرکت امنیتی Check Point یک آسیب‌پذیری حیاتی را در واتس‌اپ فاش کرد که به مهاجمان امکان می‌داد با ارسال فایل‌های ویدیویی به خصوص طراحی‌شده، کدهای مخرب را اجرا کنند. بنا به گزارش‌ها، تنها با مشاهده ویدیوی مخرب، اسکریپت‌ها به صورت مخفیانه روی دستگاه هدف فعال می‌شدند و به مهاجمان امکان دسترسی به اطلاعات حساس مانند حافظه محلی، دوربین، میکروفون و حتی گزارش‌های چت واتس‌اپ را می‌داد.

تاریخچه حملات بزرگ سایبری به واتساپ

۱- پگاسوز اسرائیل

در سال ۲۰۱۹، واتس‌اپ تأیید کرد که بیش از ۱۴۰۰ کاربر از جمله روزنامه‌نگاران، دیپلمات‌ها و فعالان حقوق بشر با استفاده از یک آسیب‌پذیری در ویژگی تماس صوتی واتس‌اپ هدف قرار گرفته‌اند. قربانیان حتی نیاز به پاسخ دادن به تماس نداشتند، تنها دریافت آن برای نفوذ Pegasus اسرائیلی به تلفنشان کافی بود. نبردهای حقوقی و تحقیقاتی که تا اواخر سال ۲۰۲۴ و اوایل ۲۰۲۵ ادامه یافتند، ماهیت مداوم این حملات را نشان داد.

۲- جاسوس‌افزار گرافیتی پاراگون

اسناد دادگاه در مه ۲۰۲۵ تأیید کرد که گروه NSO به هدف قرار دادن کاربران واتس‌اپ ادامه داده است. در اواخر سال ۲۰۲۴، واتس‌اپ به یک حمله بهره‌برداری با zero-click برای استقرار بدافزار جاسوسی Graphite توسط Paragon پرداخت. گزارش‌ها در اوایل ۲۰۲۵ تأیید کردند که حدود ۹۰ نفر از جمله روزنامه‌نگاران و اعضای جامعه مدنی در چندین کشور هدف قرار گرفتند.

جمع آوری داده ها : ناامنی

رمزنگاری سرتاسری اطمینان می‌دهد که محتوای واقعی پیام‌ها، عکس‌ها، ویدیوها و تماس‌ها از واتس‌اپ و Meta خصوصی باقی می‌ماند. با این حال، واتس‌اپ مقدار قابل توجهی ابرداده جمع‌آوری می‌کند؛ اطلاعاتی در مورد ارتباطات و کاربران. این ابرداده‌ها شامل اطلاعات حساب، اطلاعات استفاده، اطلاعات دستگاه و اتصال، اطلاعات کلی موقعیت مکانی و مخاطبین می‌شود.

واتس‌اپ صریحاً بیان می‌کند که به طور معمول برای اهداف نظارتی، گزارش‌های اینکه چه کسی به چه کسی پیام می‌دهد یا تماس می‌گیرد را نگه نمی‌دارد و نمی‌تواند موقعیت‌های دقیق به اشتراک گذاشته شده در چت‌های رمزنگاری شده را ببیند. با این حال، ابرداده‌هایی که جمع‌آوری می‌شوند می‌توانند بسیار افشاگرانه باشند. پس، آیا وقتی شرکت مادر آن Meta به دلیل کسب درآمد از داده‌ها شناخته شده، واتس‌اپ برای استفاده امن است؟ اینجا جایی است که همه چیز مبهم می‌شود.

به‌روزرسانی سیاست حریم خصوصی سال ۲۰۲۱ واتس‌اپ تلاش کرد کاربران را مجبور به اشتراک‌گذاری داده‌های بیشتری با اکوسیستم گسترده‌تر Meta برای تبلیغات و پیام‌رسانی تجاری کند. این اقدام با واکنش فوری روبرو شد و میلیون‌ها کاربر به پلتفرم‌های متمرکز بر حریم خصوصی مانند Signal و Telegram مهاجرت کردند. حتی امروز، واتس‌اپ داده‌ها را با Meta برای اهداف عملیاتی به اشتراک می‌گذارد که شامل همگام‌سازی با خدمات Facebook است. این مربوط به محتوای پیام شما نیست، بلکه در مورد زمینه مکالمات شماست و در اقتصاد داده، زمینه طلاست. خط بین امنیت و حریم خصوصی باریک است و واتس‌اپ اغلب آن را مبهم می‌کند.

نظارت دولت های غربی روی واتساپ

نگرانی بزرگ دیگر، نظارت دولتی است و این نگرانی کاملاً به‌جاست. سؤال اینکه آیا واتس‌اپ از چشم‌های کنجکاو آژانس‌های غریی دولتی امن است، یک سؤال تئوری نیست، بلکه واقعی و پیچیده است. واتس‌اپ با افتخار از ایجاد درهای پشتی برای دولت‌ها امتناع کرده است. در واقع در برخی موارد، حتی در برابر درخواست‌های قانونی مقاومت کرده است. اما یک تله وجود دارد. واتس‌اپ نمی‌تواند پیام‌های رمزنگاری‌شده شما را بخواند، اما می‌تواند و ابرداده‌ها را با مقامات به اشتراک می‌گذارد.

تنها در سال ۲۰۲۴، متا در پاسخ به بیش از ۷۸ درصد از درخواست‌های اجرای قانون مربوط به واتس‌اپ، داده‌ها را فاش کرد. علاوه بر این، هنگامی که داده‌ها در ابر پشتیبان‌گیری می‌شوند، به طور بالقوه از طریق احضاریه‌ها یا دسترسی مستقیم قابل دسترسی هستند. تا زمانی که کاربران به طور خاص پشتیبان‌گیری رمزنگاری شده را فعال نکنند، آن داده‌ها می‌توانند به راحتی در اختیار قرار بگیرند. پس آیا واتس‌اپ برای استفاده در محیط‌هایی که حساسیت سیاسی یا نظارت بیش از حد یک عامل مهم است، امن است؟ پاسخ به مدل تهدید شما بستگی دارد، اما برای بسیاری، خطرات بسیار بالا هستند.

اگرچه رمزنگاری سرتاسری حفاظت‌هایی را ارائه می‌دهد، اما دسترسی دولت های غربی به ابرداده‌ها، فشارهای قانونی علیه رمزنگاری و بدافزارهای جاسوسی قوی به این معنی است که واتس‌اپ در برابر نظارت دولتی قاطع، ایمنی محدودی فراهم می‌کند.

آیا واتس‌اپ برای ارسال عکس‌های خصوصی و فایل‌های حساس امن است؟

به این سؤال باید با صراحت پاسخ داد. بله، پیام‌ها و رسانه‌ها در حین انتقال رمزنگاری سرتاسری دارند. این به این معنی است که فقط شما و گیرنده باید بتوانید آن‌ها را ببینید. اما اینجا یک نکته وجود دارد. وقتی فایل به تلفن می‌رسد، رمزنگاری به پایان می‌رسد. عکس در گالری دستگاه ذخیره می‌شود و اغلب به صورت خودکار این اتفاق می‌افتد. اما از آن لحظه، این فایل در برابر بدافزار یا بدافزار جاسوسی روی دستگاه گیرنده، پشتیبان‌گیری‌های ابری، اشتراک‌گذاری تصادفی و اسکرین‌شات‌ها آسیب‌پذیر است.

واتس‌اپ همچنین فایل‌های رسانه‌ای را فشرده می‌کند که گاهی اوقات کیفیت را کاهش می‌دهد. مهم‌تر از همه، این فرآیند فرصت‌هایی برای نشت ابرداده‌ها ایجاد می‌کند؛ اینکه فایل چه زمانی گرفته شده، برچسب‌های موقعیت جغرافیایی و اطلاعات دستگاه. این پلتفرم یک حالت اختیاری به نام «مشاهده یکبار» را ارائه می‌دهد که عکس‌ها یا ویدیوها را پس از یک بار مشاهده حذف می‌کند، اما حتی این نیز کامل نیست. اسکرین‌شات یا عکس گرفتن با دستگاه‌های دیگر همچنان امکان‌پذیر است. در نتیجه، اگرچه به دلیل رمزنگاری سرتاسری در حین انتقال، واتس‌اپ امن‌تر از ارسال از طریق ایمیل یا پیامک رمزنگاری‌نشده است، اما خطرات متعدد در نقاط پایانی، از طریق پشتیبان‌گیری‌ها و اقدامات گیرنده به این معنی است که این ابزار یک خزانه امن نیست. برای رسانه‌های واقعاً محرمانه، به ویژه اسناد حساس تجاری یا عکس‌های خصوصی، اتکا به واتس‌اپ یک ریسک قابل توجه است.

چه باید کرد؟

کارشناسان حریم خصوصی، محققان امنیتی و روزنامه‌نگاران در سراسر جهان به دلایل بسیار موجهی از پلتفرم‌های اصلی مانند واتس‌اپ فاصله گرفته‌اند. جایگزین های قابل اعتماد علاوه بر تلگرام، Signal که با حریم خصوصی در هسته خود ساخته شده است و از همان پروتکل Signal استفاده می‌کند، اما بدون هیچ‌گونه بار شرکتی. این برنامه ابرداده‌ها را ذخیره نمی‌کند، تبلیغات ارائه نمی‌دهد و ثبت نمی‌کند که با چه کسی صحبت می‌کنید و اغلب مورد استفاده افشاگران، فعالان و حتی دولت‌ها است.

نرم افزار Threema که در سوئیس مستقر است و یکی از معدود برنامه‌های پیام‌رسان است که به شماره تلفن نیاز ندارد و ناشناس بودن را تضمین می‌کند. این برنامه همه چیز را رمزنگاری می‌کند و داده‌ها را فقط روی دستگاه شما ذخیره می‌کند. برای ارتباطات تجاری، اسناد حقوقی، اسکن کارت شناسایی، قراردادها یا اطلاعات کیف پول دیجیتال، Atomic Mail فقط یک جایگزین امن‌تر نیست، بلکه گزینه بهتری است

واتساپ برای چه کسانی مناسب نیست؟

در نهایت، ایمنی واتس‌اپ یک مسئله پیچیده است که نیاز به درک نقاط قوت و ضعف آن در یک زمینه گسترده‌تر دارد. اگرچه واتس‌اپ سطح قابل توجهی از محافظت را برای محتوای ارتباطات از طریق رمزنگاری سرتاسری پیش‌فرض خود فراهم می‌کند، اما این ویژگی به تنهایی پلتفرم را از همه تهدیدات یا نقض حریم خصوصی کاملاً امن نمی‌سازد.

اگر شما یک کاربر عادی هستید که به راحتی اهمیت می‌دهید و هیچ چیز حساسی را تبادل نمی‌کنید، واتس‌اپ ممکن است به اندازه کافی امن باشد. اما اگر سیاستمدار، فرد نظامی، بنیانگذار، روزنامه‌نگار، وکیل یا فقط کسی هستید که به حریم خصوصی دیجیتال واقعی اهمیت می‌دهید، بهتر است از واتساپ فاصله بگیرید.