طی بیانیه ابلاغی روز دوشنبه 02 تیر ماه 1404، دفتر مدیر اجرایی مجلس نمایندگان آمریکا استفاده از اپلیکیشن پیامرسان واتساپ را روی کلیه تجهیزات دولتی، اعم از لپتاپها و تلفنهای همراه سازمانی، ممنوع اعلام کرد. این دستور نشاندهنده تشدید نگرانیها پیرامون سیاستهای حفاظت دادهای متا و نحوه پیادهسازی مکانیزمهای رمزنگاری و کنترل دسترسی در این اپلیکیشن است. اما حقیقت امر چیست و چرا استفاده از واتساپ در مهد آن ممنوع شده است؟
با وجود اینکه مارک زاگربرگ همیشه واتساپ را امن ترین نرمافزار پیامرسان میداند اما بسیاری از کارشناسان، منتقدان و حتی دولتها در سراسر دنیا وجود دارند که استفاده از این نرمافزار را با خطر بالا یا حتی ممنوع اعلام کردهاند.
بر اساس یادداشتی که نسخهای از آن در اختیار رسانهها قرار گرفته، مدیر ارشد اجرایی مجلس نمایندگان در روز دوشنبه به کارکنان اعلام کرده که واتساپ به عنوان «یک ابزار پرخطر برای کاربران» شناسایی شده و از تاریخ ۳۰ ژوئن (9 تیر ماه 1404)، استفاده از آن بر روی هرگونه لپتاپ یا تلفن همراه متعلق به مجلس ممنوع خواهد بود.
در ایمیلی که به دست اکسیوس رسیده، تأکید شده است که کارمندان مجلس تحت هیچ شرایطی مجاز به دانلود، نصب یا استفاده از واتساپ روی گوشیهای هوشمند، کامپیوترهای رومیزی و حتی نسخههای تحت وب این پیامرسان نیستند. مسئول مربوطه همچنین تصریح نموده که افرادی که این برنامه را نصب کردهاند باید آن را حذف کنند.
در این یادداشت، که نخستین بار توسط رسانه Axios گزارش شد، آمده است:
نبود شفافیت در نحوه محافظت از دادههای کاربران، فقدان رمزنگاری دادههای ذخیرهشده و وجود خطرات امنیتی بالقوه در استفاده از این اپلیکیشن، از جمله دلایل این تصمیم است.
این ممنوعیت در حالی اعمال میشود که پیش از این، ابزارهای دیگری مانند ChatGPT، مایکروسافت کوپایلت، DeepSeek و برخی اپلیکیشنهای متعلق به شرکت ByteDance نیز با محدودیتهای مشابهی روبرو شده بودند.
مسئول ارشد اداری مجلس آمریکا، جایگزینهای امنی مانند Microsoft Teams، Wickr، Signal، iMessage و FaceTime را برای ارتباطات کاری پیشنهاد کرده است. با توجه به این تصمیم قاطع، حتی اگر واتساپ بیانیهای درباره امنیت بالای خود صادر کند، بعید به نظر میرسد که به این زودیها به دستگاههای دولتی آمریکا بازگردد.
جزئیات فنی: چرا واتساپ «پرخطر» ارزیابی شده است؟
اما فارغ از اینکه استفاده از واتساپ توسط چه نهادی ممنوع اعلام شده، میتوان از دید فنی، دلایل مطرح شده برای این تصمیم را مورد بررسی قرار داد. ابتدا به ساکن میتوانیم با متن بیانیه مسئول ارشد اداری مجلس نمایندگان شروع کنیم که در یادداشت رسمی دفتر CAO، سه محور اصلی را بهعنوان مبنای تصمیم امنیتی ذکر کرده است:
نبود شفافیت در سیاستهای حفاظت از دادهها (Data Protection Transparency)
با وجود رمزنگاری سرتاسری (End-to-End Encryption)، فقدان اطلاعات شفاف درباره شیوههای مدیریت متادیتا (Metadata Handling)، ثبت رویدادها (Logging)، و اشتراکگذاری اطلاعات با نهادهای ثالث موجب شده که واتساپ در ارزیابیهای امنیتی مجلس، در سطح «High Risk» یا بسیار پرخطر طبقهبندی شود.
عدم رمزنگاری دادههای ذخیرهشده (At-Rest Encryption)
یکی از انتقادات جدی مطرحشده در این سند، مربوط به عدم رمزنگاری دادههای ذخیرهشده در دستگاههای کاربر یا سرورهای پشتیبان (مثل Google Drive و iCloud) است. این کاستی، برخلاف استانداردهای توصیهشده توسط NIST (موسسه ملی استاندارد و فناوری ایالات متحده)، آسیبپذیری بالقوهای در برابر دسترسی غیرمجاز به دادههای پشتیبان تلقی میشود.
خطرات امنیتی مربوط به بستر ارتباطی (Security Risks in Communication Layer)
بهدلیل وابستگی زیرساختی واتساپ به سرورهای متمرکز متعلق به متا و عدم افشای عمومی سورسکد یا گزارشهای ممیزی امنیتی (Security Audit Reports)، امکان تحلیل مستقل وجود ندارد. همین امر باعث افزایش سطح عدم اطمینان فنی (Technical Uncertainty) شده است.
واکنش متا: رمزنگاری سرتاسری بهعنوان سپر دفاع
همانطور که انتظار میرفت، ساعتی پس از انتشار خبر اولیه در این مورد، مسئولان شرکت واتساپ، به آن واکنش نشان داده و دلایل مندرج در ایمیل مذکور را قویاً رد کردهاند. سخنگوی شرکت متا در واکنشی رسمی اعلام کرده است:
ما بهشدت با این ارزیابی مخالف هستیم. پیامها در واتساپ بهصورت پیشفرض با رمزنگاری سرتاسری محافظت میشوند و هیچکس، حتی ما، نمیتواند به آنها دسترسی داشته باشد.
بهعلاوه، متا تأکید کرد که واتساپ نسبت به بسیاری از برنامههای تأییدشده توسط CAO (مجلس نمایندگان ایالات متحده آمریکا)، سطح بالاتری از امنیت را ارائه میدهد.
نکته قابل توجه این است که واتساپ در واکنش خود هیچ اشاره فنی برای رفع ابهامات ابلاغیه CAO نداشته و در واقع با ارسال یک بیانیه تنها تلاش نموده که یک واکنش اولیه به آن داشته باشد.
باید به این نکته مهم هم اشاره کنیم که برخلاف تصمیم مجلس نمایندگان، سنای ایالات متحده هنوز استفاده رسمی از واتساپ را مجاز میداند. این اختلاف در سیاستگذاری، توجه کارشناسان امنیتی به نبود وحدترویه در نهادهای فدرال ایالات متحده را برانگیخته است. زمینه تاریخی و سوابق متا در سیاستهای حریم خصوصی
واتساپ در سال ۲۰۱۴ توسط متا با قیمت ۱۹ میلیارد دلار خریداری شد. اما در سال ۲۰۱۷، برایان اکتون (همبنیانگذار واتساپ) به دلیل اختلافات جدی بر سر مسئله استقلال دادهها و اجرای تبلیغات هدفمند از شرکت خارج شد. او سپس پیامرسان سیگنال را پایهگذاری کرد که امروز یکی از ایمنترین اپلیکیشنهای ارتباطی در جهان شناخته میشود.
ذکر این نکته نیز قابل توجه است که در اسفند ماه گذشته، اپلیکیشن سیگنال در مرکز توجهات از جانب یک خبر پیرامون رسوایی امنیتی آن قرار گرفت؛ جایی که برخی مقامات دولتی ایالات متحده از جمله جیدی ونس (معاون رئیس جمهور و پیت هگست (وزیر دفاع) بهطور غیرعمدی اطلاعات حساس درباره عملیات نظامی را در یک گروه غیررسمی با خبرنگاران به اشتراک گذاشتند.
البته در این مورد نمیتوان اتهامی را متوجه سیگنال دانست، چرا که لو رفتن اطلاعات مذکور به دلیل سهلانگاری افراد حاضر در آن گروه ارتباط داخلی دولت آمریکا صورت گرفته و عملاً هیچگونه نشت اطلاعات فنی اتفاق نیفتاده بود.
تحرکات سیاسی زاکربرگ و واکنشها در حاکمیت به آن
متا در حال حاضر درگیر یک شکایت حقوقی سنگین از سوی کمیسیون تجارت فدرال ایالات متحده (FTC) است. این نهاد، متا را به سوءاستفاده از موقعیت انحصاری از طریق تصاحب واتساپ و اینستاگرام متهم کرده و معتقد است که این شرکت بازار پیامرسانی را به شکل غیرقانونی تحت تسلط خود گرفته است.
همزمان، مارک زاکربرگ در تلاش برای جلب حمایت سیاسی، چندین دیدار رسمی با دونالد ترامپ، در کاخ سفید داشته است. تحلیلگران این تحرکات را نوعی «دیپلماسی شرکتی» در راستای دفاع از منافع متا تفسیر میکنند.
همچنین در اقدامی معنادار، شرکت متا در اواخر پاییز سال 1403 اجازه استفاده نظامی از مدلهای هوش مصنوعی LLaMA را برای نهادهای دولتی صادر کرد. مضاف بر آن همکاری رسمی با شرکت Anduril Industries برای توسعه تجهیزات واقعیت ترکیبی (MR) برای ارتش آمریکا آغاز شده است.
جالب است بدانید که در همین راستا، اندرو بوسورث، مدیر ارشد فناوری متا، نیز اخیراً با درجه سرهنگ دوم ذخیره ارتش ایالات متحده در گروه نوآوری اجرایی (Executive Innovation Corps) منصوب شده است.
همه این موارد سیاست چندگانه دولت و حاکمیت آمریکا علیه متا را نشان میدهد. در واقع مشخص نیست که آیا تصمیم مذکور برای اعمال ممنوعیت استفاده از واتساپ پشتپردهای فراتر از مسائل فنی دارد یا رقابت در پرده باعث اتخاذ چنین تصمیماتی شده است. شاید بتوان گفت که سفرهای متعدد مارک زاکربرگ به کاخسفید و همکاریهای نظامی مانند مجوز استفاده از مدل LLaMA برای ارتش، نشاندهنده تلاش متا برای نفوذ سیاسی است که احتمالاً واکنشهایی را برانگیخته است.
برنامههای مجاز: مقایسه فنی با واتساپ
بخش دیگری که در ابلاغیه مجلس نمایندگان مورد توجه است، ارائه راهکارهای جایگزین و نامبردن از نرمافزارهایی است که کارمندان میتوانند به جای واتساپ از آنها استفاده کنند.
طبق اسناد داخلی، فهرست ابزارهای مجاز شامل موارد زیر است:
|
ابزار |
مالک |
نوع رمزنگاری |
سورسکد عمومی |
یادداشت فنی |
|---|---|---|---|---|
|
Microsoft Teams |
مایکروسافت |
رمزنگاری TLS/SSL در مسیر، فاقد E2EE کامل |
بسته |
یکپارچگی با Active Directory |
|
Signal |
Signal Foundation |
رمزنگاری سرتاسری متنباز |
بله |
بهترین شفافیت و حریم خصوصی |
|
iMessage / FaceTime |
اپل |
E2EE با کنترل محدود کلید |
خیر |
ذخیرهسازی پیامها در iCloud قابلحمله است |
|
Wickr |
آمازون |
E2EE با سیاست انقضای خودکار پیام |
خیر |
امنیت بالا اما کاربری محدود |
از منظر فنی، واتساپ یکی از نخستین پیامرسانهای تجاری بوده که رمزنگاری سرتاسری (End-to-End Encryption) را بهطور پیشفرض و سراسری برای پیامها فعال کرده است. این رمزنگاری، بر پایهی پروتکل سیگنال (Signal Protocol) طراحی شده و بهطور نظری، امنیت قابل قبولی را برای محتوای پیامها فراهم میکند. با این حال، چند مؤلفه کلیدی در طراحی و عملکرد واتساپ باعث میشود که سطح امنیت آن نسبت به برخی رقبای متنباز و ممیزیپذیر پایینتر باشد. در ادامه مهمترین ضعفهای مهندسی این پلتفرم بررسی میشود:
ذخیرهسازی نسخه پشتیبان و رمزنگاری ناقص دادههای ذخیرهشده
برخلاف پیامرسان Signal که هیچگونه نسخه پشتیبان ابری ذخیره نمیکند، واتساپ به کاربران اجازه میدهد پیامهای خود را روی Google Drive یا iCloud ذخیره کنند. تا پیش از سال ۲۰۲۱، این نسخههای پشتیبان بدون رمزنگاری ذخیره میشدند. حتی پس از افزودن قابلیت رمزنگاری نسخههای پشتیبان:
کلید رمزنگاری همچنان روی دستگاه کاربر یا اکانت ابری باقی میماند
دادهها از طریق زیرساختهای خارجی متعلق به اپل یا گوگل منتقل میشوند
این فرآیند هنوز در برابر حملات قانونی (lawful access) آسیبپذیر است
در مقابل، پلتفرمهایی مانند Signal و Wickr فاقد سیستم پشتیبانگیری ابری هستند، یا این قابلیت را بهشدت محدود کردهاند تا احتمال نشت داده به حداقل برسد.
تجمیع و تحلیل فراداده (Metadata Collection)
واتساپ علیرغم رمزنگاری پیامها، بهطور سیستماتیک اقدام به جمعآوری فرادادههای رفتاری (Behavioral Metadata) میکند که شامل موارد زیر است:
- لیست مخاطبان
- زمان و دفعات ارتباط
- IP و موقعیت نسبی جغرافیایی
- مدل و مشخصات سختافزار دستگاه
این دادهها بهطور مستقیم در مالکیت شرکت متا قرار دارد و میتوانند برای تحلیلهای تجاری یا الگوریتمهای هوش مصنوعی مورد استفاده قرار گیرند.
در حالی که Signal صراحتاً از «ذخیره صفر (Zero-knowledge architecture)» استفاده میکند و حتی لاگهای سرور آن نیز هیچ اطلاعاتی درباره تعاملات کاربران ذخیره نمیکند.
معماری غیرشفاف و غیرمتنباز (Closed-source Infrastructure)
واتساپ فقط در بخش کلاینت (سمت کاربر) بهصورت متنباز عمل کرده است، اما بخشهای حیاتی از جمله مواردی مانند سرورهای پیامرسانی، سیستم تحویل کلیدهای رمزنگاری، الگوریتمهای مدیریت تماس و تماس تصویری کاملاً وابسته هستند.
با توجه به این موارد، هیچ ممیزی امنیتی مستقل برای این بخشها قابل انجام نیست. این در تضاد با Signal است که تمام اجزای معماری خود (اعم از کلاینت و سرور) را تحت مجوزهای متنباز منتشر کرده و توسط جامعهی امنیتی جهانی بهطور مداوم ممیزی میشود.
وابستگی به اکوسیستم متا و پیوند با شبکههای اجتماعی
از منظر مهندسی امنیت، ادغام دادههای واتساپ با سایر پلتفرمهای متا (نظیر فیسبوک و اینستاگرام) بهمنظور شخصیسازی تجربه کاربری و تبلیغات، ذاتاً ناامن است.
در نظر داشته باشید که در واتساپ مسیرهای انتقال داده چندگانه میشوند، سیاستهای حریم خصوصی یکپارچه نیستند و به همین دلیل احتمال رخنه در زنجیره دادهها افزایش مییابد.
این پیوستگی دادهای برخلاف اصول معماری ایزوله (Compartmentalized Architecture) است که در ابزارهای پیامرسان امن مانند Threema یا Wickr بهشدت رعایت میشود.
واتساپ امنیت محتوایی خوب، اما امنیت سیستمی شکننده
در مجموع، واتساپ از نظر رمزنگاری پیامها روی کاغذ قابل اتکاست، اما از لحاظ کلی معماری، مدیریت فراداده، شفافیت زیرساخت، و استقلال عملیاتی، نسبت به رقبای امنیتمحور، نمره پایینتری دریافت میکند. در شرایطی که کاربران دولتی در معرض تهدیدهای پیچیده و هدفمند (Targeted Threats) هستند، این تفاوتها بهشدت حائز اهمیت خواهد بود.
نتیجهگیری: وقتی پیامرسان فقط پیامرسان نیست
ممنوعیت واتساپ در مجلس نمایندگان ایالات متحده تنها یک تصمیم اجرایی نیست؛ بلکه نمادی از تغییر پارادایم در نگاه دولتها به ابزارهای دیجیتال است. در واقع میتوان گفت که این روزها یک اپلیکیشن پیامرسان نهتنها کانال ارتباطی، بلکه بخشی از زیرساخت ملی اطلاعات، امنیت سایبری، و حتی بازی قدرت جهانی است.
از دلیل فنی و امنیتی، این تصمیم نمونهای روشن از حرکت بهسوی الگوهای «حاکمیت داده» (Data Sovereignty) و «حداقلسازی افشا» (Data Minimization) است؛ جایی که دولتها میکوشند از هرگونه ریسک غیرقابل کنترل در لایههای نرمافزاری دور بمانند، حتی اگر به قیمت حذف محبوبترین اپلیکیشن پیامرسان جهان تمام شود.
نظرات کاربران