واتس أب

مقدمة
واتس أب WhatsApp تطبيق واسع الانتشار على الهواتف الذكية يتيح لمستخدميه إمكانية تبادل الرسائل النصية والصور وغيرها من ملفات الميديا بين الأجهزة التي تم تنصيب التطبيق عليها. بالإضافة إلى التراسل الخاص (أي شخصين) يمكن لمستخدمي واتس أب إنشاء غرف دردشة.
يستخدم واتس أب شبكة الانترنت لتبادل المعطيات عند ارسال الرسائل, بالتالي بدون رسوم إضافية على رسم الاشتراك بالانترنت. التطبيق متوفر على الهواتف الذكية Smart Phones التي تعمل بنظام آي فون iPhone وعلى تلك التي تعمل بنظام أندرويد Android.

عانى تطبيق واتس آب ولفترة طويلة من مشاكل مرتبطة بأمن وسرية التراسل والاتصال باستخدامه. وتأرجح موقف القائمين عليه بين الرغبة بتحسين مستوى الأمان تارة وتأجيل الموضوع لمرحلة لاحقة. حتى قمنا في مشروع سلامتك وفي مشاريع مشابهة تعنى بأمن الانترنت والخصوصية بتصنيف WhatsApp كتطبيق غير آمن.
لكن مؤخرا في نيسان/أبريل 2016 أعلنت واتس أب WhatsApp أنها فعلت ميزة التشفير طرف-إلى-طرف end-to-end encryption لجميع خدمات التراسل
بمختلف أنواعها على جميع تطبيقاتها تطبيقاتها مستخدمة بروتوكول التشفير الخاص بتطبيق سيغنال Signal وبالتعاون مع مؤسسة Open Whisper Systems
المسؤولة عن تطبيق سيغنال Signal.
يمثل هذا الاعلان نقلة نوعية في توجه واتس أب WhatsApp ومستوى الأمان في التطبيق واستعدادهم للتعاون مع العاملين في مجال الأمن الرقمي والحريصين على السرية والخصوصية لذلك قمنا من جانبنا بإلغاء التحذير من خطورة استخدام التطبيق WhatsApp علما أن العديد من النقاط ما تزال قائمة وبحاجة للنقاش.
بالرغم من ذلك ننصح باستخدام تطبيقات مفتوحة المصدر يقوم الخبراء بمعاينتها وفحص سطور برمجتها باستمرار. بالتحديد ننصح باستخدام تطبيق سيغنال Signal للتراسل والمكالمات الصوتية المشفرة والآمنة على الهواتف الذكية.

الحواجز ونقاط ودوريات التفتيش والمداهمات
في كامل سوريا وأجزاء من العراق ومناطق أخرى من العالم تنتشر نقاط وحواجز التفتيش المسلحة للقوات المتنازعة على الطرقات العامة. يقوم المسلحون الذين يديرون الحاجز بالتحقق من العابرين. وغالبا يطلب المسلحون تسليم الهاتف الذكي للمفتش بعد وضع كلمة السرّ أو إزالة قفله تحت طائلة العقوبة التي قد تصل حد التصفية الجسدية في حال الرفض. الأمر نفسه يتكرر مع دوريات التفتيش أو المداهمات التي يقوم بها المسلحون الذين يسيطرون على تلك المناطق.

محتويات التطبيق واتس آب كغيرها من المحتويات على الجهاز قد تضع صاحبها في موقع المساءلة والعقاب لو لم يعجب المحتوى المسلحين على الحواجز أو مفتيش الدوريات.
لذلك بشكل عام يجب أن يحرص المستخدمون على حذف كل ما قد يضعهم موقع المساءلة حيث تواجدوا وحيث يرغبون في الذهاب عابرين لحواجز صديقة أو معادية

يقوم تطبيق واتس آب بإجراء تخزين احتياطي بشكل مستمر لجميع الرسائل المتبادلة لمدة أسبوع. أي يمكنك في أي لحظة استرجاع الرسائل المتبادلة لمدة أسبوع حتى لو تم حذفها.

لإجراء ذلك يكفي إلغاء تثبيت التطبيق ثم إعادة تثبيته بعد تحميله من الانترنت. هذا يجعل تطبيق واتس آب WhatsApp غير آمن.

لذلك ننصح بالاكتفاء باستخدام التطبيق لأغراض لا تضع صاحبها في موقع المساءلة

الرسائل الصوتية والنصية أو الصور التي لم تصل المستخدم بعد

ذكرنا ضرورة حذف الرسائل والصور التي تجرم صاحبها أمام المسلحين على الحواجز أو دوريات التفتيش. ولنفترض أن العابر للحاجز قد حذف كل الرسائل التي قد تضعه مكان المساءلة.
لكن ماذا عن الرسائل التي مازالت في الطريق ولم تصل بعد للجهاز؟
قد يقوم المحقق على الحاجز عند الشك والريبة أو بشكل اعتباطي اعتقال المستخدم مؤقتا والتحقيق معه في مكان تتوفر فيه الانترنت. حيث يقوم المحقق بانتظار وصول الرسائل النصية أو الصوتية واتس آب أو غيرها من تطبيقات المحادثة والتواصل. وقد تصل في هذه الفترة رسالة تتضمن محتوى يجرم صاحبا أو يعطي المحقق “طرف الخيط” للمزيد من الاستجواب والتحقيق.
لا يوجد طريقة تقنية على واتس آب تسمح بإلغاء ميزة استقبال الرسائل مباشرة بعد الدخول إلى الانترنت  لذلك :

لا بد من الاتفاق على بروتوكول بين مستخدمي تطبيقات المحادثة لكي تتأكد الجهتان المتخاطبتان أن الجميع في وضع آمن يسمح لهم باستقبال وإرسال
الرسائل قبل البدء بإرسالها واستقبالها

من الممكن أيضا أن يقوم المستخدم بشراء هاتف ذكي إضافي بحيث يستخدم على أحدهما تطبيق واتس آب بشكل حصري لأغراض لا تجرمه كالتواصل مع العائلة والأصدقاء، يأخذه معه حيث تنقل عابرا الحواجز بدون خوف. في حين يبقى الجهاز الآخر الذي من الممكن استخدامه لأغراض أخرى في المنزل، بشرط أن لا يكون هذا الجهاز عرضة للسرقة أو المصادرة وأن يكون الجهاز مشفرا ومحميا بكلمة سرّ وأن يكون تطبيق واتس آب محميا ومخفيا أيضا وأن يكون بالامكان حذف محتوياته إن دخل إلى الانترنت لو تمكن سارقه من إدخال كلمة السرّ الصحيحة  وبشكل عام :

لا ننصح باستخدام هذا التطبيق لأغراض قد تجرم مستخدمه. وإنما الاكتفاء باستخدام لأغراض لا تضع صاحبها للمشاكل ننصح مستخدمي واتس آب وغيرها من تطبيقات التراسل على الهواتف الذكية على عدم إرسال رسائل أو صور أو مواضيع قد تجرم مستقبلها وإنما استخدام اساليب أخرى لا تعتمد على الهواتف النقالة (كالبريد الالكتروني) لإرسالها

صور لائحة الأصدقاء

في النقطة السابقة ذكرنا ضرورة حذف الرسائل والصور التي تجرم صاحبها أمام المسلحين على الحواجز أو دوريات التفتيش.

لكن في كثير من الأحيان يكفي أن تكون صورة بروفايل أحدهم على قائمة أصدقائك في واتس آب صورة لا تعجب المسلحين على الحاجز

مثلا يكفي أن تكون صورة صديق من أصدقائك هي لعلم الاستقلال (في سورية) عند عبور حاجز لقوات الجيش النظامي لكي يعتقلك المفتش على الحاجز.

لذلك ننصح جميع مستخدمي واتس آب وغيرها من تطبيقات المحادثة والتواصل الاجتماعي من جهة بملاحظة صور أصدقائهم والطلب منهم تغييرها في حال كانت غير مناسبة أو حذفهم من القائمة. ومن جهة أخرى نطلب من مستخدمي واتس آب وغيرها من تطبيقات المحادثة والتواصل الاجتماعي عدم وضع صور قد تضع أي من أصدقائهم في خطر أينما كانوا. بل أن يكتفوا بصور وأسماء لحساباتهم لا تحمل دلالة سياسية.

التشفير في تطبيق واتس أب Encryption in WhatsApp

على الرغم من الاستخدام الواسع لهذا التطبيق على الهواتف الذكية إلا أن سمعته من حيث الحفاظ على خصوصية مستخدميه وعلى سرية الرسائل المتبادلة بين مستخدميه سيئة. إذ أنه ولفترة طويلة منذ إدراجه في الأسواق حتى شهر آب/أغسطس 2012. لم يتضمن أي ميزة تشفير للرسائل المتبادلة بين مستخدميه. أي حتى ذلك التاريخ كانت كل المراسلات التي تجري عبره تعبر الانترنت دون أي تشفير. وبالتالي حتى ذلك التاريخ كان بإمكان أي مخدم على شبكة الانترنت تمر الرسائل عبره أو أي مدير للانترنت اللاسلكي في مقهى انترنت مثلا، أو أي مزود خدمة للمتراسلين سواء كان انترنت الشبكة السلكية أو شبكة 3G أو الانترنت عبر الأقمار الصناعية أن يقرأ محتوى الرسائل بدون أي جهد أو عناء أو مهارة.

منذ شهر آب/أغسطس 2012 يستخدم تطبيق واتس أب WhatsApp بروتوكول Https لتشفير الرسائل بين المتراسلين.

بعد ذلك اعتمد تطبيق الـ واتس أب WhatsApp في التراسل على استخدام اصدار معدل من بروتوكول XMPP الذي تعتمده برامج المحادثة الفورية (الدردشة) مثل Facebook Messenger و gtalk والعديد من الخدمات المشابهة. ويعتمد للتمييز بين المستخدمين على استخدام اسم مستخدم Username فريد لكل مستخدم و كلمة سر Password لحماية شخصية المستخدم. ما يجعل واتس أب WhatsApp غير آمن لتبادل المعطيات هو أن اسم أي مستخدم في واتس أب هو رقم هاتفه, الذي يقوم التطبيق أساسا بارساله بدون تشفير, بينما كلمة السر المرتبطة باسم المستخدم تنتج من رقم الهاتف الذكي الخاص IEMI بعملية حسابية بسيطة جدا.

بالتالي لو كان مزود خدمة الانترنت خاصتك هو نفسه مزود خدمة اتصالات الهاتف النقال يمكنه بكل سهولة فك تشفير كل الرسائل المرسلة عبر WhatsApp. و أيضا, لو كان من يرغب في التنصت على محادثاتك عبر WhatsApp يستطيع الوصول إلى رقم IEMI الخاص بجهازك ورقم هاتفك ويستطيع الحصول على البيانات التي تمر عبر مزود خدمة الانترنت الخاص بك (كما هو الحال في سوريا مثلا) يمكنه بكل سهولة فك تشفير كل الرسائل المرسلة عبر WhatsApp.

استمرت هذه الحالة حتى بداية عام 2013 حيث تم إصدار نسخة جديدة من WhatsApp. للأسف المشكلة استمرت لمستخدمي النسخ الأقدم من التطبيق، ما ادعى هيئات حماية المستهلك في الحكومة الهولندية والحكومة الكندية إلى اصدار بيان يحذر المستخدمين من استخدام WhatsApp في بداية عام 2013.

بعد ذلك قامت شركة WhatsApp بإغلاق هذه الثغرة الأمنية باصدار جديد من التطبيق. لكن خبراء الأمن الرقمي استمروا من التحذير من استخدام التطبيق لأنه وطبقا للبياني الحكومة الكندية والهولندية فإن شركة WhatsApp تقوم بالاحتفاظ بالرسائل لمدة سنة في قاعدة بياناتها على عكس ما تدعيه على موقعها الرسمي (بعدم الاحتفاظ بأي رسائل).

في تشرين الأول/أوكتوبر 2013 اكتشف خبراء الأمن الرقمي ثغرة جديدة في تقنية تشفير التطبيق للرسائل تتيح للمتنصتين على الاتصال من فك تشفير الرسائل وكأن شيئا من التشفير لم يكن. الثغرة، من جديد، تتيح لأي مخدم على شبكة الانترنت تمر الرسائل عبره أو أي مدير للانترنت اللاسلكي في مقهى انترنت مثلا، أو أي مزود خدمة للمتراسلين سواء كان انترنت الشبكة السلكية أو شبكة 3G أو الانترنت عبر الأقمار الصناعية أن يقرأ محتوى الرسائل بجهد قليل وخبرة متوسطة (للمزيد من التفاصيل الرجاء معاينة المقالة: Piercing Through WhatsApp’s Encryption)
في نهاية عام 2014 أعلن كل من شركة فيسبوك Facebook ومؤسسة Open Whisper Systems أن واتس أب WhatsApp أصبح يستخدم أسلوب التشفير الخاص بتطبيق سيغنال Signal (تيكست سيكيور TextSecure سابقا)الذي تنتجه مؤسسة Open Whisper Systems كجزء من منتجاتها للتراسل الآمن، وأن المحادثات أصبحت مشفرة وفق هذه التقنية، لكن تقنية التشفير هذه لا تشمل المحادثات الجماعية. يعتبر هذا تطورا إيجابيا وفي الاتجاه الصحيح. لكن كون التطبيق ما زال غير مفتوح المصدر فلا يوجد طريقة لخبراء الأمن الرقمي للتحقق من أن تطبيق واتس أب فعلا يقوم بالتشفير بالطريقة الصحيحة وأنه لا يوجد ثغرات أمنية جديدة.

في شهر نيسان/أبريل 2015 توصل فريق الأمن هايزة Heise Security Team لنتيجة أن المحادثات على واتس آب WhatsApp بين جهاز يعمل بنظام أندرويد Android وجهاز يعمل بنظام تشغيل iOS مثل iPhone او iPad لا يتم تشفيرها باستخدام أسلوب TextSecure من مؤسسة Open Whisper Systems. وأنه لا يوجد طريقة للتحقق من أن شركة Facebook لا يمكنها إلغاء هذه الميزة لمحادثة معينة أو لمستخدم معين إن رغبت أو أجبرت على ذلك

في نيسان/أبريل 2016 أعلنت واتس أب WhatsApp أنها فعلت ميزة التشفير طرف-إلى-طرف end-to-end encryption لجميع خدمات التراسل بمختلف أنواعها على جميع تطبيقاتها تطبيقاتها مستخدمة بروتوكول التشفير الخاص بتطبيق سيغنال Signal وبالتعاون مع مؤسسة Open Whisper Systems المسؤولة عن تطبيق سيغنال Signal.

يمثل هذا الاعلان نقلة نوعية في توجه واتس أب WhatsApp ومستوى الأمان في التطبيق واستعدادهم للتعاون مع العاملين في مجال الأمن الرقمي والحريصين على السرية والخصوصية لذلك قمنا من جانبنا بإلغاء التحذير من خطورة استخدام التطبيق WhatsApp علما أن العديد من النقاط ما تزال قائمة وبحاجة للنقاش.

بالرغم من ذلك نستمر بتوجيه النصح باستخدام تطبيقات مفتوحة المصدر يقوم الخبراء بمعاينتها وفحص سطور برمجتها باستمرار. بالتحديد ننصح باستخدام تطبيق سيغنال Signal للتراسل والمكالمات الصوتية الآمنة والمشفرة على iPhone وiPad والأجهزة العاملة بنظام أندرويد Android.