کیا واٹس ایپ غیرمحفوظ اپلیکشن ہے؟

دنیا کے مقبول ترین چیٹنگ میسنجر واٹس ایپ میں ایسا سیکیورٹی خلاءسامنے آیا ہے جو ہیکرز کو پیغامات کو بدلنے اور انہیں پڑھنے کا موقع فراہم کرتا ہے۔

واٹس ایپ اینڈ ٹو اینڈ انکرپشن کے حوالے سے جانا جاتا ہے جس میں صارفین کے پیغامات کسی اور کے ہاتھ لگنا ناممکن قرار دیا جاتا ہے، مگر انٹرنیٹ سیکیورٹی کمپنی چیک پوائنٹ نے واٹس ایپ کی جانب سے ڈیکرپٹ ڈیٹا کے لیے استعمال ہونے والے الگورتھم کو ریورس انجنیئرنگ کے ذریعے استعمال کیا۔

محققین نے دریافت کیا کہ واٹس ایپ کی جانب سے protobuf2 protocol پیغامات ڈیکرپٹ کرنے کے لیے استعمال کیا جاتا ہے۔

اس میں ردوبدل کرکے محقین واٹس ایپ سیکیورٹی کو بائی پاس کرکے پیغامات کو بھیجنے اور انہیں بدلنے میں کامیاب ہوگئے۔

انہوں نے بتایا کہ تحقیق کے نتائج سے معلوم ہوا کہ Burp Suite (ایک جاوا بیسڈ ٹول) ایکسٹیشن اور 3 manipulation طریقہ کار کی مدد سے ہم پہلے پبلک اور پرائیویٹ چیٹ سیشن میں داخل ہوئے اور معلوم ہوا کہ اس سے نہ صرف پیغام کا مواد بدلا جاسکتا ہے بلکہ بھیجنے والے کے یوزر نیم کو بھی چرایا جاسکتا ہے۔

ان کا کہنا تھا کہ اس طریقہ کار سے ایک پبلک میسج کو پرائیویٹ میسج ظاہر کرکے بھی بھیجا جاسکتا ہے جو کہ گروپ میں ہر ایک کو نظر آتا ہے اور صارفین کو کافی احتیاط سے کام لینے کی ضرورت ہے۔

اس طریقہ کار سے چیک پوائنٹ نے واٹس ایپ صارفین پر 3 حملے بھی کیے جن کے دوران سینڈر کی شناخت کو گروپ چیٹ میں بدلا گیا حالانکہ وہ اس گروپ کا رکن بھی نہیں تھا، اسی طرح پیغام پر رئیپلائی کرنے والے کے میسج کو بدلا گیا، جبکہ گروپ چیٹ میں ایک شخص کو پرائیویٹ پیغام بھیجا گیا مگر اس بات کو یقینی بنایا گیا کہ اس جواب کو پورا گروپ دیکھ سکے۔

محققین کے مطابق اس طرح کی کمزوری سے ہیکرز گروپ چیٹس میں داخل ہوکر گفتگو کو اپنی مرضی کے مطابق ڈاھل کر جعلی معلومات پھیلا سکتے ہیں۔

چیک پوائٹس نے اس مسئلے پر واٹس ایپ کو بھی آگاہ کیا جس پر کمپنی نے اپنے بیان میں بتایا ‘ ہم اس مسئلے کا جائزہ لے رہے ہیں اور یہ بالکل ایسا ہے کسی ای میل کو بدل دیا جائے تو صارف نے کبھی تحریر ہی نہ کی’۔

واٹس ایپ کے مطابق اس تحقیق میں سامنے آنے والے دعویٰ میں اینڈ ٹو اینڈ انکرپشن سیکیورٹی پر کچھ نہیں کہا گیا، جو کہ اس بات کو یقینی بناتی ہے کہ بھیجنے اور موصول کرنے والا ہی پیغام پڑھ سکے۔

اس سے قبل رواں سال کے شروع میں جرمنی کی روز یونیورسٹی نے اپنی ایک تحقیق میں انکشاف کیا تھا کہ اگرچہ کمپنی کا تو دعویٰ ہے کہ ٹیکسٹ، تصاویر یا ویڈیوز وغیرہ پر مبنی پیغامات صرف بھیجنے یا موصول کرنے والا ہی دیکھ سکتا ہے، مگر اس نظام میں بہت بڑا خلاءموجود ہے اور واٹس ایپ کے کسی سرور پر کنٹرول رکھنے والا ہر فرد معمولی کوشش سے پرائیویٹ گروپ چیٹ کو پڑھ سکتا ہے۔

محققین کا کہنا تھا ‘ سرور کا کنٹرولر بآسانی کسی بھی اجنبی کو گروپ کا رکن بنا کر نئے پیغامات حاصل کرکے انہیں پڑھ سکتا ہے، اینڈ ٹو اینڈ سیکیورٹی تحفظ اتنا بھی زیادہ نہیں جتنا کمپنی بیان کرتی ہے، کیونکہ اس کمپنی کا کوئی بھی فرد کسی پرائیویٹ میں کسی نئے فرد کا اضافہ کرکے بات چیت کو پڑھ سکتا ہے’۔

2017 میں برطانوی روزنامے دی گارڈین نے اپنی ایک رپورٹ میں بتایا تھا کہ واٹس ایپ میں ایسی سیکیورٹی خامی موجود ہے جو اینڈ ٹو اینڈ انکرپشن کے باوجود پیغامات کو دیگر افراد کے ہاتھوں میں پہنچا سکتی ہے۔

اس خامی کو ‘ بیک ڈور’ کا نام دیا گیا ہے جسے سب سے پہلے اپریل 2016 میں ایک سیکیورٹی محقق ٹوبیاز بویلٹیر نے دریافت کیا تھا اور وہ اب تک واٹس ایپ میں موجود ہے۔

رپورٹ میں بتایا گیا کہ واٹس ایپ سگنل پر عملدرآمد کے نتیجے میں آف لائن صارفین کے لیے نئی انکرپشن کیز بنتی ہیں جس کے نتیجے میں انہیں کوئی تیسرا شخص بھی پڑھ سکتا یا حاصل کرسکتا ہے۔

متعدد سیکیورٹی ماہرین نے بھی نشاندہی کی ہے کہ سامنے آنے والی خامی نئی نہیں بلکہ یہ ایک پرانا مسئلہ ہے کہ کس طرح کی ویریفیکیشن انکرپٹڈ سسٹم کو متاثر کرسکتا ہے۔

دوسری جانب واٹس ایپ نے اس کی تردید کرتے ہوئے کہا تھا کہ آف لائن صارفین کے لیے نئی کیز بنانے کا مقصد اس بات کو یقینی بنانا ہے کہ پیغامات ترسیل کے دوران کھو نہ جائیں۔

Facebook
Twitter
LinkedIn
Print
Email
WhatsApp

Never miss any important news. Subscribe to our newsletter.

مزید تحاریر

تجزیے و تبصرے