۳ میلیارد کاربر واتساپ در خطر جاسوسی بدون خبردار شدن!

یه خبر داغ و عجیب: محقق‌ها یه راه خیلی هوشمندانه پیدا کردن که می‌تونه اطلاعات کاربرهای واتساپ و سیگنال رو بی‌سروصدا و فقط با داشتن شماره تلفن‌شون رصد کنه، بدون اینکه حتی بفهمن! این روش رو “Silent Whisper” نام‌گذاری کردن و واقعاً یه کاری می‌کنه که هیچ‌کس فکرش رو نمی‌کرد.

خب، ماجرا از این قراره: این تکنیک جدید میاد و از یه بخش خیلی پایه‌ای تو برنامه‌های پیام‌رسان (مثل واتساپ و سیگنال) سوء استفاده می‌کنه. یعنی از “delivery acknowledgments” یا همون تأیید گرفتن رسیدن پیام‌ها (که وقتی شما پیامی دریافت می‌کنید، اپ تو بک‌گراند واسه سرور یه تأیید می‌فرسته) سرک می‌کشه. کافیه فقط شماره طرف رو داشته باشن، بعد می‌تونن بدون اینکه حتی پیامی ارسال بشه یا نوتیفیکیشنی ظاهر شه، هی دستگاه تو رو چک کنن!

به‌صورت خلاصه: فقط با شماره، هر کی بخواد می‌تونه مخفیانه وضعیت گوشیت رو زیر نظر بگیره، بدون اینکه تو اصلن بفهمی. یه جاهایی حتی باتری گوشی رو هم خالی می‌کنه و سرعت نتتو می‌گیره!

اما چطوری؟ ماجرا اینطوریه که وقتی یکی مرتب داره این تأییدیه‌ها رو چک می‌کنه، گوشی کلی انرژی مصرف می‌کنه. مثلاً تو تست‌هایی که خودشون انجام دادن، آیفون ۱۳ پرو هر ساعت ۱۴٪، آیفون ۱۱ هر ساعت ۱۸٪ و گلکسی S23 هر ساعت ۱۵٪ شارژش می‌پرید! معمولی قرار نیست گوشی تو حالت بیکار بیشتر از ۱٪ در ساعت شارژ کم کنه. جالبه، سیگنال به خاطر محدودیت‌هایی که داره کمتر آسیب می‌بینه (فقط ۱٪ در ساعت). اما به هرحال این اتفاق تو هر دو تا پیام‌رسان ممکنه بیفته.

علاوه بر باتری، این ردیابی اینترنتت رو هم مصرف می‌کنه و وقتی مثلاً مشغول تماس تصویری یا کارهای سنگین با اینترنت باشی، حسابی اذیتت می‌کنه.

این روشم بر اساس سرعت “رفت و برگشت تأییدیه” کار می‌کنه؛ یعنی مدت زمانی که طول می‌کشه تأیید رسیدن پیام از گوشی به سرور و برعکس بیاد. اگه کسی این تایم‌ها رو بررسی کنه، می‌تونه بفهمه گوشی روشنه، خونه‌ای، بیرونی، تو حرکت یا وای‌فای داری یا دیتای موبایل. مثلاً اگه سرعتش بالا باشه، یعنی احتمالاً خونه‌ای و نتت وصله. کند و نامنظم؟ داری حرکت می‌کنی یا جایی هستی که نت ضعیفه.

حالا تصور کن کسی با همین ترفند، چند روز تو رو زیر نظر بگیره. راحت می‌تونه بفهمه کی خوابیدی، کی بیدار می‌شی، معمولاً چه ساعت‌هایی خونه‌ای، سفر میری یا نه! بدون اینکه حتی پیام‌هات رو ببینه یا مخاطبینت رو چک کنه؛ فقط براساس رفتار گوشی.

یه نکته جالب اینکه قبلاً تو مقالات آکادمیک در مورد این باگ حرف زده بودن، ولی الان یه نفر یه ابزار واقعی ساخته که واسه همه قابل دسترسه. یعنی هر کی بخواد می‌تونه فقط با داشتن شماره‌ات، هر ۵۰ میلی‌ثانیه یه بار این ردیابی رو بزنه و تو هم اصلاً بویی نبری!

خود سازنده‌ی ابزار هم گفته این کار واسه تحقیقات ساخته شده، و سوءاستفاده نکنید! ولی خب، وقتی عمومیه، کنترلش واقعاً سخته.

فعلاً این آسیب‌پذیری تا آخر سال ۲۰۲۵ سر جاشه. اگه Read Receipt (یعنی رسید خوانده شدن پیغام که می‌شه تیک آبی در واتساپ) رو غیر فعال کنی، یه‌کم جلویش رو می‌گیره، ولی کامل متوقفش نمی‌کنه. واتساپ یه گزینه گذاشته برای مسدود کردن پیام‌های زیاد ناشناس، اما دقیق نگفته مرزش کجاست و چطور اجرا می‌کنه. سیگنال کنترلای بیشتری داده ولی باز هم حمله‌پذیره.

حالا شاید فکر کنی: خوب آنتی‌ویروس نصب کنم یا بسته‌های حفاظت از اطلاعات هویت و ضد بدافزار بگیرم! راستش این روش اصلاً malware یا همون بدافزار کار نمی‌بره، بلکه یه سواستفاده از خود پروتکول پیام‌رسان‌هاست. پس هیچ آنتی‌ویروسی نمی‌تونه تشخیصش بده.

در کل این حمله بیشتر برای تحت نظر گرفتن رفتارهای توئه، نه لزوماً دزدیدن مستقیم داده شخصی. یعنی یه‌جور پایش بی‌صدا و مداوم که خیلی سخت می‌شه فهمیدش.

پس حواست باشه اگه دیدی شارژ گوشیت بی‌دلیل عجیب می‌پره یا سرعت نتت کند می‌شه و کاری که می‌کنی سنگین نیست، شاید یکی با Silent Whisper داره دزدکی زیر نظرته! حواسمون جمع باشه و مراقب رفتار اپ‌ها و گزینه‌های امنیتی باشیم.

منبع: +