واتس أب WhatsApp

من SalamaTech Wiki سلامتك ويكي
(فرق) → مراجعة أقدم | المراجعة الحالية (فرق) | مراجعة أحدث ← (فرق)
اذهب إلى التنقل اذهب إلى البحث

مقدمة

Whatsapp.jpg

واتس أب WhatsApp تطبيق واسع الانتشار على الهواتف الذكية يتيح لمستخدميه إمكانية تبادل الرسائل النصية والصور وغيرها من ملفات الميديا بين الأجهزة التي تم تنصيب التطبيق عليها. بالإضافة إلى التراسل الخاص (أي شخصين) يمكن لمستخدمي واتس أب إنشاء غرف دردشة.

يستخدم واتس أب شبكة الانترنت لتبادل المعطيات عند ارسال الرسائل, بالتالي بدون رسوم إضافية على رسم الاشتراك بالانترنت. التطبيق متوفر على الهواتف الذكية Smart Phones التي تعمل بنظام آي فون iPhone وعلى تلك التي تعمل بنظام أندرويد Android.

عانى تطبيق واتس آب ولفترة طويلة من مشاكل مرتبطة بأمن وسرية التراسل والاتصال باستخدامه. وتأرجح موقف القائمين عليه بين الرغبة بتحسين مستوى الأمان تارة وتأجيل الموضوع لمرحلة لاحقة. حتى قمنا في مشروع سلامتك وفي مشاريع مشابهة تعنى بأمن الانترنت والخصوصية بتصنيف WhatsApp كتطبيق غير آمن. لكن مؤخرا في نيسان/أبريل 2016 أعلنت واتس أب WhatsApp أنها فعلت ميزة تشفير طرف إلى طرف End-to-End Encryption لجميع خدمات التراسل بمختلف أنواعها على جميع تطبيقاتها تطبيقاتها مستخدمة بروتوكول التشفير الخاص بتطبيق سيغنال Signal وبالتعاون مع مؤسسة Open Whisper Systems المسؤولة عن تطبيق سيغنال Signal.

يمثل هذا الاعلان نقلة نوعية في توجه واتس أب WhatsApp ومستوى الأمان في التطبيق واستعدادهم للتعاون مع العاملين في مجال الأمن الرقمي والحريصين على السرية والخصوصية لذلك قمنا من جانبنا بإلغاء التحذير من خطورة استخدام التطبيق WhatsApp علما أن العديد من النقاط ما تزال قائمة وبحاجة للنقاش.

بالرغم من ذلك ننصح باستخدام تطبيقات مفتوحة المصدر يقوم الخبراء بمعاينتها وفحص سطور برمجتها باستمرار. بالتحديد ننصح باستخدام تطبيق سيغنال Signal للتراسل والمكالمات الصوتية المشفرة والآمنة على الهواتف الذكية.

تحميل وتنصيب تطبيق WhatsApp

يمكن تحميل تطبيق WhatsApp عبر زيارة الموقع الرسمي لتطبيق whatsApp وهو https://www.whatsapp.com/download ومتابعة الرابط إلى النسخة المناسبة لجهازكم على متجر Google Play لمستخدمي الأجهزة العاملة بنظام Android أو لمتجر iTunes لمستخدمين الأجهزة العاملة بنظام iOS X.

يجب التأكد من تحميل التطبيق من هذه المتاجر فقط، إذ تتواجد نسخ مزورة من التطبيق تقوم بالفعل بتنصيب تطبيق WhatsApp الحقيقي على جهازكم، لكنها أيضا في الوقت نفسه تقوم بتنصيب تطبيقات خبيثة على الجهاز.

ميزة التحقق بخطوتين

تقدم خدمة WhatsApp ميزة التحقق بخطوتين Two Factor Authentication التي تربط حساب المستخدم برمز من 6 أرقام يقوم المستخدم بتحديده بالإضافة لرقم الهاتف. بحيث يتطلب نقل الحساب من جهاز إلى آخر إدخال الرمز، بالإضافة للرسالة النصية القصيرة SMS المعتادة. هذه يحمي الحساب من السرقة Hijacking عبر استخدام بطاقة SIM تحمل نفس الرقم، أو عبر اعتراض الرسالة النصية القصيرة SMS من جهة قادرة على ذلك.

لتفعيل ميزة التحقق بخطوتين اتبعوا الخطوات التالية:

  • من تطبيق واتس أب WhatsApp قوموا بالدخول إلى الحساب Account
  • من قائمة الحساب إبحثوا عن ميزة التحقق بخطوتين Two-step verification
  • ثم قوموا بتفعيل الميزة Enable
  • قوموا باختيار رمز من 6 أرقام يمكنكم حفظه وقوموا بإدخاله
  • قوموا بادخال الرمز مرة أخرى.
  • قوموا بإدخال عنوان إيميل صحيح لاسترجاع الحساب في حال نسيان الرمز

المخاطر عند استخدام واتس آب

خطر استخدام نسخة غير رسمية من تطبيق واتس أب

أحد عيوب تطبيق واتس أب، هو إمكانية استخدامه عبر تطبيقات "غير رسمية" أو تطبيقات مزورة مما يزيد من خطورة استخدامه.

يوجد العديد من التطبيقات غير الرسمية لـ واتس أب، منها -واتسأب الذهبي -واتس أب الأزرق -واتس أب بلاس.. وغيرها من النسخ المزورة وغير الآمنة

بعض النسخ غير الرسمية من واتس أب "بعض النسخ غير الرسمية من واتس أب"


أما عن أسباب خطورة استخدامها، فهناك عدة أمور، منها أنه عند استخدام هذه التطبيقات فإن رسائل واتس أي الصادرة والوارد تمر من خلال مخدم الجهة المشغلة للنسخة المزورة أو غير الرسمية، الأمر الذي يلغي فكرة التشفير في واتس أب تشفير طرف إلى طرف End-to-End Encryption عبر السماح لطرف ثالث بالوصول إلى محتوى الرسائل الصادرة والواردة.

كما أن تنصيب نسخ غير رسمية من واتس أب أو تنصيب نسخة من خارج المتاجر الرسمية أو المعتمدة من شركة واتس أب ربما يؤدي إلى تنصيب برمجيات خبيثة على الجهاز، مما يجعل الجهاز غير آمن.

لهذا السبب، من الضروري جداً عدم استخدام أي نسخة غير رسمية من واتس أب، والإكتفاء بتنصب التطبيق من خلال الموقع الرسمي لتطبيق WhatsApp وهو https://www.whatsapp.com/download ومتابعة الرابط إلى النسخة المناسبة لجهازكم على متجر Google Play لمستخدمي الأجهزة العاملة بنظام أندرويد Android أو لمتجر iTunes لمستخدمين الأجهزة العاملة بنظام iOS X

خطر استغلال ثغرة في تطبيق واتس أب تسمح بحذف الحساب وحظر تفعيله من جديد

تم اكتشاف ثغرة في تطبيق واتس أب، تمكّن أي شخص من تنفيذ هجوم يؤدي إلى حذف حساب شخص آخر -بدون الحاجة لأي خبرة تقنية-

كيف تعمل هذه الثغرة؟

نتحفظ عن ذكر تفاصيل الثغرة كي لا يتم استغلالها وشن هجوم لتعطيل الحسابات *سيتم تعديل هذه الفقرة وذكر التفاصيل فور إصلاح واتس أب لهذه الثغرة

كيف يمكننا تجنب هذه الثغرة وحماية الحساب؟

يمكن تجنب الإصابة بهذا الهجوم، من خلال الخطوات التالية: الخطوة الأولى: تفعيل ميزة "التحقق بخطوتين" من خلال: 1. فتح تطبيق واتس أب، ثم الانتقال إلى الإعدادات | Settings 2. الضغط على الحساب | Account > التحقق بخطوتين | Two-step verification > تمكين | Enable 3. إدخال رقم التعريف الشخصي الذي تريدونه والمكون من ستة أرقام، ثم تأكيد الرقم.

الخطوة الثانية: إضافة عنوان البريد الإلكتروني الخاص بك إلى حساب واتس أب. يمكن إضافة البريد الإلكتروني خلال إعداد "التحقق بخطوتين"، أما في حال تم تمكين التحقق بخطوتين سابقاً بدون إضافة البريد الإلكتروني فيمكن إضافته من خلال: 1. فتح تطبيق واتس أب، ثم الانتقال إلى الإعدادات | Settings 2. الضغط على الحساب | Account > التحقق بخطوتين |Two-step verification، ثم الضغط على إضافة عنوان بريد إلكتروني |Add Email Address.

أشار متحدث باسم واتس أب إلى أن تفعيل التحقق بخطوتين مع إضافة عنوان البريد الإلكتروني يساعد على عدم الوقوع ضحية لهذه المشكلة، بالتالي تجنب استغلال الثغرة لتعطيل الحساب بشكل كامل مع عدم القدرة على استعادته. (نتجنب هنا وضع مصدر هذا التصريح لأنه يحوي كيفية استغلال الثغرة وتوظيفها).

كيف يمكننا معرفة أننا نتعرض لهذا الهجوم؟

في حال وصل لكم عدة رسائل نصية SMS متتالية تحتوي رمز تفعيل واتس أب، هذا مؤشر على أن الحساب ربما يتعرض لمحاولة تعطيل من شخص/جهة ما.

• إن تفعيل التحقق بخطوتين مع إضافة الإيميل كافية لردع الهجوم وعدم توقف الحساب. • عدم تفعيل التحقق بخطوتين أو تفعيل التحقق بخطوتين دون إضافة الإيميل يعني إمكانية نجاح الهجوم وتعطيل الحساب.

في حال حصول الأمر أو تكراره، ينصح بمراسلة قسم الدعم في واتس أب، عبر إرسال رسالة إلى [email protected] من خلال البريد الإلكتروني الذي تم اضافته لحساب واتس أب، وشرح الأمر مع إدراج رقم الهاتف بالصيغة الدولية، رمز الدولة يليه الرقم، داخل الرسالة، يُفضل أن يكون التواصل باللغة الإنكليزية، لكن لا يوجد أي مشكلة بالتواصل بأي لغة ثانية.

خطر استغلال ثغرة في تطبيق واتس آب تسمح بالسيطرة على جهاز الضحية

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

خطر حظر الرقم من استخدام واتس أب

تقوم شركة واتس أب بـ حظر الأرقام عن استخدام أو تفعيل واتس اب، اذا قام الحساب بـ استخدام أو المساهمة في استخدام تطبيق واتس أب بأمور تخالف سياسة "الاستخدام المقبول" لـ تطبيق واتس أب. ومن ضمن الاستخدام غير المقبول هو نشر أو المساهمة في نشر مواد تنتهك حقوق الخصوصية أو حقوق الدعاية أو حقوق الملكية الفكرية، بالإضافة إلى نشر أو المساهمة في نشر مواد غير قانونية أو غير أخلاقية أو مسيئة للسمعة أو تهديدية أو تخويفية أو تنطوي على مضايقة أو تحض على كراهية عنصرية أو عرقية أو تحرض أو تشجع على سلوك غير قانوني، بالإضافة إلى المواد التي تنطوي على الأكاذيب أو المعلومات المحرّفة أو البيانات المضللة..

أحد أنواع "المساهمة في النشر" تكون عبر وجود الحساب كـ "مشرف" في مجموعة تنشر أمور تخالف سياسة "الاستخدام المقبول". في عدد من الحالات، قام أشخاص بإضافة أرقام أشخاص ووضعهم كـ "مشرف" في مجموعات تحتوي مراسلات تخالف سياسة "الاستخدام المقبول"، ثم قاموا بـ التبليغ عن المجموعة. الأمر الذي أدى إلى قيام واتس أب بـ حظر هذه الأرقام من أستخدام واتس أب. *في بعض الحالات لا ترسل واتس أب تحذيراً قبل حظر الحساب. عندها، يمكن التواصل مع الشركة عبر البريد الإلكتروني، ليتم دراسة الحالة.

لذلك، من الضروري ضبط إعدادات الخصوصية في تطبيق واتس أب بحيث لا يتم إضافة حسابك إلى المجموعات من قِبل أرقام ليست موجودة ضمن جهات الإتصال الخاصة بك.

ضبط إعدادات الإنضمام إلى المجموعات

آندرويد: من خيارات إضافية > الإعدادات > الحساب > الخصوصية > المجموعات > ثم ضبط الخيار على "جهات الإتصال" IOS: من خيارات إضافية > الإعدادات > الحساب > الخصوصية > المجموعات > ثم ضبط الخيار على "جهات الإتصال"

خطر إصابة الهاتف عبر أساليب الهندسة الاجتماعية

بإستخدام الهندسة الإجتماعية على واتس أب، يمكن أستهداف الأشخاص إما للسيطرة على جهاز الهاتف ومراقبته أو لقرصنة حساب واتس أب.

يكون الإستهداف بعدة طرق، منها

  • من خلال ارسال مالوير Malware لجهاز الهدف أو الضحية عبر رسالة واتس أب، ممكن أن تكون على شكل رابط Link أو على شكل صورة أو فيديو أو ملف مرفق أو غيرها من الأشكال.

عند تفاعل الهدف أو الضحية مع الـ مالوير Malware وإصابة الجهاز، يصبح جهاز الضحية -بشكل كامل أو جزئي- تحت سيطرة ومراقبة الجهة المهاجمة. ينجح هذا النوع من الهجمات بشكل كبير في واتس أب عند نشر الـ مالوير Malware في مجموعات واتس اب. أو عندما يحصل الإستهداف من خلال رقم واتس اب معروف لدى الهدف أو الضحية (التفاصيل في الفقرة التالية).

  • من أساليب "الهندسة الإجتماعية" المتّبعة في استهداف حسابات واتس أب، تلك التي تهدف إلى السيطرة على الحساب. حيث يتم الإستهداف من خلال طلب تفعيل رقم الهدف على جهاز الشخص\الجهة المهاجمة - عند محاولة التفعيل، تقوم شركة واتس أب بـ إرسال رمز تحقق إلى هاتف الهدف عبر رسالة نصية SMS. وكي يتم تفعيل رقم الهدف على جهاز الجهة المهاجمة، يجب على الجهة المهاجمة الحصول على "رمز التحقق" من جهاز الهدف، لذلك، تقوم الجهة المهاجمة بالتواصل مع الهدف إما عبر اتصال أو من خلال رسالة، يتم من خلالها ايهام الهدف أنه تم عن طريق الخطأ ارسال رمز إلى هاتفه وهناك حاجة لإعطائهم الرمز. عند نجاح الجهة المهاجمة بإقناع الهدف إعطائها رمز التحقق، عندها تستطيع عندها الجهة المهاجمة تفعيل رقم الهدف بالتالي السيطرة عليه ويتحول الهدف إلى ضحية وتفقد السيطرة على الحساب.

بعد سيطرة الجهة المهاجمة على رقم واتس أب الضحية، يمكن للجهة المهاجمة استخدام رقم الضحية لإرسال رسائل خبيثة إلى أقارب أو صديقات وأصدقاء أو معارف الضحية لإستهدافهم.

خلال تشرين الثاني\نوفمبر 2020 حصلت عملية استهداف لعدد من حسابات واتس أب، وتم النجاح بـ قرصنة عدد من الحسابات من خلال تفعيل حساب واتس أب لأحد الضحايا بإستخدام الطريقة السابقة، ثم الحصول على "رمز التحقق" لحسابات أُخرى لأرقام صديقات وأصدقاء الضحية عبر التواصل مع الأهداف من رقم واتس أب الضحية وانتحال صفة الضحية *كما في الصورة المرفقة

Whatsapp SocialEngineering.png


لتجنب الإستهداف:

  • يجب عدم التفاعل مع الروابط أو الملفات أو أي مرفقات تأتي من مصدر مجهول أو من حساب لم يسبق التواصل معه.
  • يجب عدم التفاعل مع الروابط أو الملفات أو أي مرفقات تصل بدون سابق سياق من أحد جهات الإتصال التي تثقون بها، قبل التأكد من أن صاحبة\صاحب الحساب هم من أرسلوا الرسالة (وليس انتحال صفة)، يُفضل أن يكون التواصل صوتي للتأكد.
  • يجب عدم مشاركة أي رمز تحقق يصلكم مع أي شخص أو جهة.
  • لحماية حساب واتس أب من القرصنة، يجب تفعيل ميزة "التحقق بخطوتين Two Factor Authentication" على حساب واتس أب.

تسرب رقم الهاتف إلى جهات غير معروفة ضمن مجموعات واتس آب

يتيح تطبيق واتس أب امكانية إنشاء مجموعات للتواصل - يمكن من خلال المجموعة إجراء محادثة كتابية وإرسال الرسائل الصوتية والملفات بالإضافة إلى إجراء مكالمة صوتية تحتوي 8 أشخاص فقط.


أحد المخاطر التي تنجم عن الإشتراك في مجموعات، هو أن أي شخص ضمن المجموعة يمكنها\يمكنه الإطلاع على أرقام هاتف جميع الأشخاص الموجودات والموجودين في المجموعة، الأمر الذي من شأنه التسبب في مشاكل أو تَبعات لبعض الأشخاص خاصة عندما يكون عنوان أو توصيف أو صورة المجموعة تشير إلى قضايا أو مواضيع ذات حساسية أمنية أو سياسية أو اجتماعية... لبعض الجهات، الأشخاص، الفئات والمجموعات...

Groups contacts.png


- من يمكنهم إنشاء المجموعات؟

يمكن لأي شخص إنشاء مجموعة على واتس أب، وإضافة الأشخاص إليها على أن يكونوا من ضمن جهات الإتصال. عند إضافة أشخاص إلى مجموعة، يتم اضافتهم بشكل مباشر بدون الحاجة إلى موافقة صاحبة\صاحب الرقم!


- كيف يتم الإنضمام أو الإضافة إلى المجموعات؟

يمكن فقط لحساب "مشرف | Admin" المجموعة إن يضيفوا أشخاص إلى المجموعة، كما يمكن لحساب "مشرف | Admin" المجموعة إضافة حسابات أخرى بصلاحية "مشرف | Admin" بحيث يمكنهم إضافة أشخاص إلى المجموعة.

إضافة إلى ذلك، يمكن لأي من مشرفات\مشرفي المجموعة تفعيل خيار "دعوة للمجوعة عبر رابط | Invite to Group via Link" الأمر الذي يتيح إمكانية الإنضمام إلى المجموعة من خلال رابط أو من خلال رمز QR. عند تفعيل هذا الخيار فإن أي شخص لديها\لديه رابط المجموعة أو رمز الـ QR يمكنهم الإنضمام إلى المجموعة بشكل مباشر وبدون الحاجة إلى موافقة أحد بما فيه "مشرف | Admin" المجموعة. الأمر الذي يجعل المجموعة شبه عامة! خاصة مع إمكانية نشر رابط المجموعة على "فيسبوك" "تويتر" وغيرها من "وسائل الإعلام الإجتماعي | Social Media"

ملاحظة: يمكن للحسابات التي تمتلك صلاحية "مشرف | Admin" في المجموعة إيقاف خيار "دعوة للمجوعة عبر رابط" في أي وقت.


ضبط الإضافة إلى المجموعات

يتيح واتس أب إمكانية تحديد من هي الجهات التي يمكنها إضافتك إلى مجموعات، عبر إتاحة 3 خيارات:

  • الكل | Everone: بحيث يمكن لأي شخص لديها\لديه رقمك، إضافتك إلى مجموعة بشكل مباشر.
  • جهات اتصالي | My Contacts: بحيث يمكن فقط للأشخاص في دفتر عناوين هاتفك، إضافتك إلى مجموعة بشكل مباشر.
  • جهات اتصالي باستثناء | My Contacts Except: بحيث يمكن فقط للأشخاص في دفتر عناوين هاتفك بإستثناء أشخاص محددات\محددين، إضافتك إلى مجموعة بشكل مباشر.


لـ ضبط إعداد الإضافة إلى المجموعات:

  • على الأجهزة العاملة بنظام تشغيل آندرويد | Android: من خيارات إضافية | More Options > الإعدادات | Settings > الحساب | Account > الخصوصية | Privacy > المجموعات | Groups.
  • على الأجهزة العاملة بنظام تشغيل ios (آيفون | iPhone): من الإعدادات | Settings > الحساب | Account > الخصوصية | Privacy > المجموعات | Groups.

خطر اختطاف حساب واتس آب من قبل أجهزة أمنية تسيطر على مشغل الهاتف المحمول

عند إنشاء حساب واتس أب، يتم ربط الحساب الجديد برقم الهاتف الخاص بالمستخدم. إذ يقوم مخدم تطبيق واتس آب بإرسال رسالة SMS تتضمن رقما سريا إلى المستخدم الجديد لتأكيد ملكيته للرقم، وبعد ذلك يتم ربط الحساب الجديد مع الرقم. عند الرغبة بنقل الحساب إلى هاتف ذكي جديد لكنه يحمل الرقم ذاته، يمكن فعل ذلك عبر طلب SMS جديدة على الجهاز الجديد لربطه بالحساب القديم. وهي آلية تستخدمها تطبيقات محادثة آخرى مثل تيليغرام Telegram

في آب/أغسطس عام 2016 استطاعت الأجهزة الأمنية الإيرانية والتي تسيطر على مشغلات الاتصالات الخليوية من استغلال هذه الآلية للتنصت على رسائل SMS الخاصة بربط حساب تيليغرام بجهاز جديد ما خولها من التنصت على حسابات Telegram لمستخدمين محددين في إيران. كما تمكنت بنفس الطريقة من سرقة حسابات واتس آب في إيران، عبر ربط الحساب بجاز ذكي لديهم.

لا يسمح واتسب بتفعيل الحساب على أكثر من جهاز أي أن استخدام هذه الطريقة للتنصت على حسابات واتسأب غير ممكن، لكن خطر اختطاف حساب واتساب (وليس التنصت) بهذه الطريقة قائم. بسبب ذلك قامت شركة WhatsApp بإطلاق ميزة التحقق بخطوتين على واتس أب WhatsApp Two-Factor Authentication التي تربط حساب واتس آب برمز سرّي بالإضافة لرقم الهاتف. بحيث يتطلب نقل الحساب من جهاز إلى آخر كتابة الرمز السرّي، بالإضافة لرسالة الـ SMS المعتادة.

ننصح المستخدمين في الدول التي تسيطر في الأجهزة الأمنية على مشغلات الاتصالات الخليوية، مثل إيران، سورية، مصر وغيرها من الدول بتفعيل ميزة التحقق بخطوتين لحسابات واتس آب WhatsApp. يمكن تفعيل الميزة عبر التوجه لإعدادات الحساب Account، ثم ميزة التحقق بخطوتين Two-step verification ثم تفعيل الميزة Enable. ثم إضافة كلمة سرّ وحساب بريد إلكتروني لاستعادة كلمة السرّ في حال نسيانها.

خطر خسارة الحساب في حالة تغير رقم الهاتف وحصول شخص آخر على رقم الهاتف نفسه

تقوم مشغلات الهواتف المحمولة بإعادة استخدام الأرقام التي تجاوز عقد استخدامها المدة المنصوص عليها بعقد الاستخدام دون تجديد العقد، وكذلك الأرقام مسبقة الدفع التي لم يتم إضافة رصيد من قبل الشخص نفسه لمتابعة استخدامها.

فإن تم إعداد تطبيق WhatsApp على الجهاز الذي يحمل الرقم المعاد استعماله، فإن برنامج WhatsApp سيقوم بربط الحساب على هذه الجهاز مع الحساب القديم الذي كان مفعلا على الرقم ذاته، بالتالي في صاحب الرقم الجديد سيستطيع معاينة الرسائل الجديدة التي تصل الحساب، ما يعني اختراقا لخصوصية صاحب الحساب الأصلي وامكانيا انتحال الشخصية وغير ذلك من المخاطر المترافقة لحصول شخص آخر على رسائل غير موجه له.

لتجنب هذه الخطورة، قوموا بتقل حساب WhatsApp إلى رقم جديد عبر استخدام الميزة ضمن إعدادات حساب WhatsApp، بالإضافة لذلك قوموا بإعداد ميزة التحقق بخطوتين المذكورة في الفقرة السابقة.

الحواجز ونقاط ودوريات التفتيش والمداهمات

في الدول والمناطق التي شهدت اضطرابات ونزاعات أهلية كلبنان وسوريا والعراق واليمن ومناطق أخرى من العالم تنتشر نقاط وحواجز التفتيش المسلحة للقوات المتنازعة على الطرقات العامة. يقوم المسلحون الذين يديرون الحاجز بالتحقق من العابرين. وغالبا يطلب المسلحون تسليم الهاتف الذكي للمفتش بعد وضع كلمة السرّ أو إزالة قفله تحت طائلة العقوبة التي قد تصل حد التصفية الجسدية في حال الرفض. الأمر نفسه يتكرر مع دوريات التفتيش أو المداهمات التي يقوم بها المسلحون الذين يسيطرون على تلك المناطق.

محتويات التطبيق واتس آب كغيرها من المحتويات على الجهاز قد تضع صاحبها في موقع المساءلة والعقاب لو لم يعجب المحتوى المسلحين على الحواجز أو مفتيش الدوريات.

لذلك، بشكل عام يجب الحرص على حذف كل ما قد يضعكم أو يضع من تتواصلوا معهم في موقع مساءلة إن كان من حيث منطقة التواجد أو الإقامة أو من حيث المناطق أو الأماكن التي ترغبون في الذهاب أو السفر إلها والتي يمكن أن يتواجد فيها حواجز تابعة للجهات المتنازعة

إمكانية استرجاع الرسائل المحذوفة

يقوم تطبيق واتس آب بإجراء تخزين احتياطي بشكل مستمر لجميع الرسائل المتبادلة لمدة أسبوع. أي يمكنك في أي لحظة استرجاع الرسائل المتبادلة لمدة أسبوع حتى لو تم حذفها.

لإجراء ذلك يكفي إلغاء تثبيت التطبيق ثم إعادة تثبيته بعد تحميله من الانترنت. هذا يجعل تطبيق واتس آب WhatsApp غير آمن.

لذلك ننصح بالاكتفاء باستخدام التطبيق لأغراض لا تضع صاحبها في موقع المساءلة

الرسائل الصوتية والنصية أو الصور التي لم تصل المستخدم بعد

ذكرنا ضرورة حذف الرسائل والصور التي تجرم صاحبها أمام المسلحين على الحواجز أو دوريات التفتيش. ولنفترض أن العابر للحاجز قد حذف كل الرسائل التي قد تضعه مكان المساءلة.

لكن ماذا عن الرسائل التي مازالت في الطريق ولم تصل بعد للجهاز؟

قد يقوم المحقق على الحاجز عند الشك والريبة أو بشكل اعتباطي اعتقال المستخدم مؤقتا والتحقيق معه في مكان تتوفر فيه الانترنت. حيث يقوم المحقق بانتظار وصول الرسائل النصية أو الصوتية واتس آب أو غيرها من تطبيقات المحادثة والتواصل. وقد تصل في هذه الفترة رسالة تتضمن محتوى يجرم صاحبا أو يعطي المحقق "طرف الخيط" للمزيد من الاستجواب والتحقيق.

لا يوجد طريقة تقنية على واتس آب تسمح بإلغاء ميزة استقبال الرسائل مباشرة بعد الدخول إلى الانترنت.

لذلك:

لا بد من الاتفاق على بروتوكول بين مستخدمي تطبيقات المحادثة لكي تتأكد الجهتان المتخاطبتان أن الجميع في وضع آمن يسمح لهم باستقبال وإرسال الرسائل قبل البدء بإرسالها واستقبالها

من الممكن أيضا أن يقوم المستخدم بشراء هاتف ذكي إضافي بحيث يستخدم على أحدهما تطبيق واتس آب بشكل حصري لأغراض لا تجرمه كالتواصل مع العائلة والأصدقاء، يأخذه معه حيث تنقل عابرا الحواجز بدون خوف. في حين يبقى الجهاز الآخر الذي من الممكن استخدامه لأغراض أخرى في المنزل، بشرط أن لا يكون هذا الجهاز عرضة للسرقة أو المصادرة وأن يكون الجهاز مشفرا ومحميا بكلمة سرّ وأن يكون تطبيق واتس آب محميا ومخفيا أيضا وأن يكون بالامكان حذف محتوياته إن دخل إلى الانترنت لو تمكن سارقه من إدخال كلمة السرّ الصحيحة.

لذلك وبشكل عام:

لا ننصح باستخدام هذا التطبيق لأغراض قد تجرم مستخدمه. وإنما الاكتفاء باستخدام لأغراض لا تضع صاحبها للمشاكل ننصح مستخدمي واتس آب وغيرها من تطبيقات التراسل على الهواتف الذكية على عدم إرسال رسائل أو صور أو مواضيع قد تجرم مستقبلها وإنما استخدام اساليب أخرى لا تعتمد على الهواتف النقالة (كالبريد الالكتروني) لإرسالها

صور لائحة الأصدقاء

في النقطة السابقة ذكرنا ضرورة حذف الرسائل والصور التي تجرم صاحبها أمام المسلحين على الحواجز أو دوريات التفتيش.

لكن في كثير من الأحيان يكفي أن تكون صورة بروفايل أحدهم على قائمة أصدقائك في واتس آب صورة لا تعجب المسلحين على الحاجز

مثلا يكفي أن تكون صورة صديق من أصدقائك هي لعلم الاستقلال (في سورية) عند عبور حاجز لقوات الجيش النظامي لكي يعتقلك المفتش على الحاجز.

لذلك ننصح جميع مستخدمي واتس آب وغيرها من تطبيقات المحادثة والتواصل الاجتماعي من جهة بملاحظة صور أصدقائهم والطلب منهم تغييرها في حال كانت غير مناسبة أو حذفهم من القائمة. ومن جهة أخرى نطلب من مستخدمي واتس آب وغيرها من تطبيقات المحادثة والتواصل الاجتماعي عدم وضع صور قد تضع أي من أصدقائهم في خطر أينما كانوا. بل أن يكتفوا بصور وأسماء لحساباتهم لا تحمل دلالة سياسية.

التشفير في تطبيق واتس أب Encryption in WhatsApp

يستخدم تطببق واتس أب ميزة التشفير طرف-إلى-طرف end-to-end encryption لتشفير الرسائل النصية منذ نهاية عام 2014 والمكالمات وبقية الخدمات منذ نيسان/أبريل 2016 مستخدمة بروتوكول التشفير الخاص بتطبيق سيغنال Signal وبالتعاون مع مؤسسة Open Whisper Systems المسؤولة عن تطبيق سيغنال Signal.

لكن سيرة حياة التطبيق ليست بحميدة، وعلى الرغم من الاستخدام الواسع لهذا التطبيق على الهواتف الذكية إلا أن سمعته من حيث الحفاظ على خصوصية مستخدميه وعلى سرية الرسائل المتبادلة بين مستخدميه سيئة. إذ أنه ولفترة طويلة منذ إدراجه في الأسواق حتى شهر آب/أغسطس 2012. لم يتضمن أي ميزة تشفير للرسائل المتبادلة بين مستخدميه. أي حتى ذلك التاريخ كانت كل المراسلات التي تجري عبره تعبر الانترنت دون أي تشفير. وبالتالي حتى ذلك التاريخ كان بإمكان أي مخدم على شبكة الانترنت تمر الرسائل عبره أو أي مدير للانترنت اللاسلكي في مقهى انترنت مثلا، أو أي مزود خدمة للمتراسلين سواء كان انترنت الشبكة السلكية أو شبكة 3G أو الانترنت عبر الأقمار الصناعية أن يقرأ محتوى الرسائل بدون أي جهد أو عناء أو مهارة.

تحت ضعط المستخدمين قامت الشركة بعدة خطوات لحماية سمعتها في هذا الخصوص. ومنذ شهر آب/أغسطس 2012 بدأ تطبيق واتس أب WhatsApp باستخدام بروتوكول Https لتشفير الرسائل بين المتراسلين.

بعد ذلك اعتمد تطبيق الـ واتس أب WhatsApp في التراسل على استخدام اصدار معدل من بروتوكول XMPP الذي تعتمده برامج المحادثة الفورية (الدردشة) مثل Facebook Messenger و gtalk والعديد من الخدمات المشابهة. ويعتمد للتمييز بين المستخدمين على استخدام اسم مستخدم Username فريد لكل مستخدم و كلمة سر Password لحماية شخصية المستخدم. ما يجعل واتس أب WhatsApp غير آمن لتبادل المعطيات هو أن اسم أي مستخدم في واتس أب هو رقم هاتفه, الذي يقوم التطبيق أساسا بارساله بدون تشفير, بينما كلمة السر المرتبطة باسم المستخدم تنتج من رقم الهاتف الذكي الخاص IEMI بعملية حسابية بسيطة جدا.

بالتالي لو كان مزود خدمة الانترنت خاصتك هو نفسه مزود خدمة اتصالات الهاتف النقال يمكنه بكل سهولة فك تشفير كل الرسائل المرسلة عبر WhatsApp. و أيضا, لو كان من يرغب في التنصت على محادثاتك عبر WhatsApp يستطيع الوصول إلى رقم IEMI الخاص بجهازك ورقم هاتفك ويستطيع الحصول على البيانات التي تمر عبر مزود خدمة الانترنت الخاص بك (كما هو الحال في سوريا مثلا) يمكنه بكل سهولة فك تشفير كل الرسائل المرسلة عبر WhatsApp.

استمرت هذه الحالة حتى بداية عام 2013 حيث تم إصدار نسخة جديدة من WhatsApp. للأسف المشكلة استمرت لمستخدمي النسخ الأقدم من التطبيق، ما ادعى هيئات حماية المستهلك في الحكومة الهولندية والحكومة الكندية إلى اصدار بيان يحذر المستخدمين من استخدام WhatsApp في بداية عام 2013.

بعد ذلك قامت شركة WhatsApp بإغلاق هذه الثغرة الأمنية باصدار جديد من التطبيق. لكن خبراء الأمن الرقمي استمروا من التحذير من استخدام التطبيق لأنه وطبقا للبياني الحكومة الكندية والهولندية فإن شركة WhatsApp تقوم بالاحتفاظ بالرسائل لمدة سنة في قاعدة بياناتها على عكس ما تدعيه على موقعها الرسمي (بعدم الاحتفاظ بأي رسائل).

في تشرين الأول/أوكتوبر 2013 اكتشف خبراء الأمن الرقمي ثغرة جديدة في تقنية تشفير التطبيق للرسائل تتيح للمتنصتين على الاتصال من فك تشفير الرسائل وكأن شيئا من التشفير لم يكن. الثغرة، من جديد، تتيح لأي مخدم على شبكة الانترنت تمر الرسائل عبره أو أي مدير للانترنت اللاسلكي في مقهى انترنت مثلا، أو أي مزود خدمة للمتراسلين سواء كان انترنت الشبكة السلكية أو شبكة 3G أو الانترنت عبر الأقمار الصناعية أن يقرأ محتوى الرسائل بجهد قليل وخبرة متوسطة (للمزيد من التفاصيل الرجاء معاينة المقالة: Piercing Through WhatsApp’s Encryption)


في نهاية عام 2014 أعلنت كل من شركة فيسبوك Facebook ومؤسسة Open Whisper Systems أن واتس أب WhatsApp أصبح يستخدم أسلوب التشفير الخاص بتطبيق سيغنال Signal (تيكست سيكيور TextSecure سابقا)الذي تنتجه مؤسسة Open Whisper Systems كجزء من منتجاتها للتراسل الآمن، وأن المحادثات أصبحت مشفرة وفق هذه التقنية، لكن تقنية التشفير هذه لا تشمل المحادثات الجماعية. يعتبر هذا تطورا إيجابيا وفي الاتجاه الصحيح. لكن كون التطبيق ما زال غير مفتوح المصدر فلا يوجد طريقة لخبراء الأمن الرقمي للتحقق من أن تطبيق واتس أب فعلا يقوم بالتشفير بالطريقة الصحيحة وأنه لا يوجد ثغرات أمنية جديدة.

في شهر نيسان/أبريل 2015 توصل فريق الأمن هايزة Heise Security Team لنتيجة أن المحادثات على واتس آب WhatsApp بين جهاز يعمل بنظام أندرويد Android وجهاز يعمل بنظام تشغيل iOS مثل iPhone او iPad لا يتم تشفيرها باستخدام أسلوب TextSecure من مؤسسة Open Whisper Systems. وأنه لا يوجد طريقة للتحقق من أن شركة Facebook لا يمكنها إلغاء هذه الميزة لمحادثة معينة أو لمستخدم معين إن رغبت أو أجبرت على ذلك

في نيسان/أبريل 2016 أعلنت واتس أب WhatsApp أنها فعلت ميزة التشفير طرف-إلى-طرف end-to-end encryption لجميع خدمات التراسل بمختلف أنواعها على جميع تطبيقاتها تطبيقاتها مستخدمة بروتوكول التشفير الخاص بتطبيق سيغنال Signal وبالتعاون مع مؤسسة Open Whisper Systems المسؤولة عن تطبيق سيغنال Signal.

يمثل هذا الاعلان نقلة نوعية في توجه واتس أب WhatsApp ومستوى الأمان في التطبيق واستعدادهم للتعاون مع العاملين في مجال الأمن الرقمي والحريصين على السرية والخصوصية لذلك قمنا من جانبنا بإلغاء التحذير من خطورة استخدام التطبيق WhatsApp علما أن العديد من النقاط ما تزال قائمة وبحاجة للنقاش.

بالرغم من ذلك نستمر بتوجيه النصح باستخدام تطبيقات مفتوحة المصدر يقوم الخبراء بمعاينتها وفحص سطور برمجتها باستمرار. بالتحديد ننصح باستخدام تطبيق سيغنال Signal للتراسل والمكالمات الصوتية الآمنة والمشفرة على iPhone وiPad والأجهزة العاملة بنظام أندرويد Android.

أخبار ذات صلة News and Updates

  • كشفت شركة Facebook التي تملك شركة WhatsApp يوم الاثنين 13 أيار/مايو 2019، أن عن استغلال مهاجمين ثغرة أمنية تسمح للمهاجمين بتثبيت برمجيّة تجسّس وغيرها بشكل صامت ومن دون علم الضحيّة، وذلك عبر اجراء اتصال صوتي بالهاتف المستهدف مُعد بشكل خاص من قبل المهاجم (يرن الهاتف مرة واحدة ثم يصاب الجهاز). ويمكن للمهاجم بعد إصابة الجهاز التنصّت على المكالمات وقراءة الرسائل ونسخها للاحتفاظ بها وتشغيل الكاميرا وغير ذلك. وأعلمت WhatsApp عن إصدار تحديث للتطبيق يسد الثغرة الأمنية. للمزيد: ثغرة في واتساب Whats App تسمح بتنزيل برمجيّة تجسّس دون علم المستخدم، يجب التحديث فوراً!
  • في شهر نيسان/أبريل 2018 قام الباحث جورجيو زانون Gregorio Zanon من DigiDNA بنشر مقالة تحذر من قدرة شركة فيسبوك التي أيضا تملك نظام واتس أب على استغلال ميزة من ميزات نظام التشغيل iOS تسمى iOS extensions لنسخ الرسائل الموجودة على الجهاز من الحاوية Container الخاصة بتطبيق واتس أب WhatsApp على الجهاز إلى حاوية تطبيق فيسبوك Facebook على نفس الجهاز دون علم المستخدم بذلك إن رغبت شركة فيسبوك ومبرمجيها بذلك. للمزيد حول ذلك: No, end-to-end encryption does not prevent Facebook from accessing WhatsApp chats
  • في نيسان/أبريل 2016 أعلنت واتس أب WhatsApp أنها فعلت ميزة التشفير طرف-إلى-طرف end-to-end encryption لجميع خدمات التراسل بمختلف أنواعها على جميع تطبيقاتها تطبيقاتها مستخدمة بروتوكول التشفير الخاص بتطبيق سيغنال Signal وبالتعاون مع مؤسسة Open Whisper Systems المسؤولة عن تطبيق سيغنال Signal
  • في شهر نيسان/أبريل 2015 توصل فريق الأمن هايزة Heise Security Team لنتيجة أن المحادثات على واتس آب WhatsApp بين جهاز يعمل بنظام أندرويد Android وجهاز يعمل بنظام تشغيل iOS مثل iPhone او iPad لا يتم تشفيرها باستخدام أسلوب TextSecure من مؤسسة Open Whisper Systems. وأنه لا يوجد طريقة للتحقق من أن شركة Facebook لا يمكنها إلغاء هذه الميزة لمحادثة معينة أو لمستخدم معين إن رغبت أو أجبرت على ذلك
  • في نهاية عام 2014 أعلن كل من شركة فيسبوك Facebook ومؤسسة Open Whisper Systems أن واتس أب WhatsApp أصبح يستخدم أسلوب التشفير الخاص بتطبيق سيغنال Signal (تيكست سيكيور TextSecure سابقا)الذي تنتجه مؤسسة Open Whisper Systems كجزء من منتجاتها للتراسل الآمن، وأن المحادثات أصبحت مشفرة وفق هذه التقنية، لكن تقنية التشفير هذه لا تشمل المحادثات الجماعية. يعتبر هذا تطورا إيجابيا وفي الاتجاه الصحيح. لكن كون التطبيق ما زال غير مفتوح المصدر فلا يوجد طريقة لخبراء الأمن الرقمي للتحقق من أن تطبيق واتس أب فعلا يقوم بالتشفير بالطريقة الصحيحة وأنه لا يوجد ثغرات أمنية جديدة.

تنقّل في الكتيب eBook Navigation

برامج التواصل Communication Software

خدمات الانترنت Internet Services

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

سيغنال Signal

البرمجة العكسية Reverse Engineering

MD5

IMEI

أندرويد Android

آي فون iPhone

تشفير طرف إلى طرف End-to-End Encryption

مراجع References

Keeping Tabs on WhatsApp's Encryption

Why Whatsapp is NOT Secure?

Piercing Through WhatsApp’s Encryption

WhatsApp Security on Wikipedia

أمان أبرز تطبيقات التراسل من الموقع الصديق www.cyber-arabs.com

Syria: Isis executes woman for 'talking disrespectfully about Caliphate' on WhatsApp

How do I restore my messages?

SECURE MESSAGING SCORECARD

داعش يعدم فتاة في دير الزور بسبب "الواتس آب"

Forget Apple vs. the FBI: WhatsApp Just Switched on Encryption for a Billion People

WhatsApp Adds​ ​2-Step Verification Passcode — Enable this Security Feature

No, end-to-end encryption does not prevent Facebook from accessing WhatsApp chats

WhatsApp urges users to update app after discovering spyware vulnerability

ثغرة في واتساب Whats App تسمح بتنزيل برمجيّة تجسّس، يجب التحديث فوراً!

نحمي أنفسنا عند استخدام واتس آب ؟