اكتشف الباحثون في جامعة الأبحاث العامة (ETH Zurich) بسويسرا 7 نقاط ضعف في بروتوكولات تطبيق Threema – وهو واحد من أكثر تطبيقات المراسلة الفورية الآمنة شعبية – وفي الوقت نفسه، قلل مطورو التطبيق من أهمية تلك الثغرات، إذ قالوا في منشور عبر المدونة إنهم حلوا جميع المشكلات في غضون أسابيع قليلة، ولم يكن لأي من تلك الثغرات أي تأثير كبير في أرض الواقع”.
ولكن ما الذي حدث مع تطبيق (Threema)، ما هو تطبيق المراسلة الفورية الذي لديه أفضل حماية؟
يرى الخبراء في شركة كاسبرسكي للأمن الإلكتروني أنه من الصعب الوصول إلى تفسير لفضيحة تطبيق Threema، لأن سلوك كلا الجانبين لم يكن مثاليًا، بالرغم من كونه متحضرًا. كان من الواضح أن فريق جامعة ETH Zurich بالغ في بيان أهمية عمله، الذي لا يصف نقاط الضعف فحسب ولكنه يصف أيضًا سيناريوهات الاستغلال الافتراضية لها، في حين أنه من الواضح أن مطوري تطبيق Threema يقللون من خطورة نقاط الضعف تلك مدعين أنه من المستحيل استغلالها تقريبًا.
ما هي نقاط الضعف التي اُكتشفت في تطبيق Threema؟
اكتشف الفريق جميع نقاط الضعف وأبلغ مطوري التطبيق بها في شهر أكتوبر الماضي، وأُصلحت هذه النقاط على الفور، ووفقا لكلا الجانبين، لم يحدث استغلال لنقاط الضعف تلك، لذلك لا يبدو أنه توجد أي أسباب تدعو للخوف من الكشف عن المعلومات المتعلقة بها. ومع ذلك، ما زال هناك سبب للقلق.
موضوعات ذات صلة بما تقرأ الآن:
ولكن دعونا نركز على ما يمكن استخلاصه من القراءة المتأنية لتقرير جامعة ETH Zurich، وبيان شركة Threema، وغيرها من الدراسات المتاحة للجمهور في تطبيق Threema وبروتوكولاته.
يستخدم تطبيق Threema خوارزميات تشفير قوية بالإضافة إلى تنفيذ مكتبة شبكات وتشفير قوية وموحدة، ومع ذلك، فإن هذا مشمول في بروتوكول تبادل المعلومات بشركة Threema الذي يكون تنفيذه غير مثالي، مما يزيد من احتمالية وقوع هجمات مختلفة نظريًا (مثل إرسال رسالة ما تبدو مختلفة لجميع المستخدمين في إحدى الدردشات الجماعية)، وكذلك بعض الهجمات العملية إلى حد ما. على سبيل المثال، سيتمكن أي شخص لديه إمكانية الوصول الفعلي إلى الهاتف الذكي المستهدف من قراءة قواعد بيانات تطبيق Threema والنسخ الاحتياطية عليه بسهولة نسبية، إذا لم يكن صاحب ذلك الهاتف قد عيَّن عبارة مرور لحماية التطبيق.
ومن الممكن أيضًا استنساخ معرفات الهوية في تطبيق Threema، مما يسمح للمهاجم بإرسال رسائل باسم الضحية. بالطبع، جميع السيناريوهات التي تتضمن إمكانية الوصول الفعلي إلى الهواتف الذكية هي في الغالب أسوأ السيناريوهات لأي تطبيق، ومن الصعب للغاية الدفاع عنها.
بعض الهجمات الافتراضية المقترحة من خلال نقاط الضعف الجديدة لن تعمل إلا إذا كان المهاجم لديه السيطرة الكاملة على شبكة تبادل البيانات، ولكن هذا في حد ذاته لا يكفي؛ إذ إن هذه الهجمات تتطلب أيضًا ظروف استغلال معقدة أخرى لتنفيذها. على سبيل المثال، يتطلب أحد السيناريوهات إجبار الضحية على إرسال رسالة ذات محتوى غريب جدًا من خلال تطبيق Threema، وهذا من غير المرجح حدوثه في الممارسة العملية.
أحد العيوب في بروتوكول الاتصال نفسه، والأكثر إثارة للقلق هو عدم وجود كل من سرية التوجيه، بمعنى أنه بعد فك تشفير رسالة واحدة، يمكنك فك تشفير الرسائل اللاحقة، وكانت نقطة الضعف تلك معروفةً لبعض الوقت، ولهذا السبب، على ما يبدو، أعلنت شركة Threema عن نسخة جديدة وأكثر أمانًا من بروتوكولها في شهر ديسمبر الماضي.
ولكن لم يخضع هذا البروتوكول الجديد لتدقيق أمني مستقل بعد، ولا يمكننا إلا أن نأخذ بكلمة المطورين عندما يقولون إنه يغطي جميع جوانب التشفير العملي الحديث، وسيكون من الحكمة أن تستجيب شركة Threema لنصيحة فريق جامعة ETH Zurich لتدقيق البروتوكولات خارجيًا في المراحل الأولى من التطوير وليس بعد إصدارها.
لاستغلال بعض نقاط الضعف في تطبيق Threema، يجب اختراق خادم الشركة المطورة ويجب أن يحاول شخص ما من جانب المُشغل سرقة البيانات المتبادلة أو تعطيل الاتصال عمدًا، وهذا أمر مهم للمؤسسات التي تستخدم تطبيق (Threema Work)، إذا لم تكن هذه الشركات تخاطر حتى بتعريض بياناتها لمخاطر افتراضية، فيجب عليها أن تفكر في الانتقال إلى تطبيق Threema OnPrem، حيث سيكون لديها خادم Threema الداخلي الخاص بها. في هذه الحالة، يحتاج المشرفون إلى استكشاف طرق لتعزيز أمان الخادم.
كما يحتاج مطورو التطبيقات إلى استخلاص الدروس من هذا الموقف، إذ ما يزال خبراء التشفير يقولون مرارًا وتكرارًا “لا تلفقوا خوارزميات التشفير التي تستخدموها” – وتقريبًا لم يستمع مطورو تطبيق Telegram لتلك النصيحة – ولكن مطورو تطبيق Threema استخدموا خوارزميات تشفير تم اختبارها بمرور الوقت مع تنفيذها الصحيح والقياسي، الذلك تسلل عدد من الثغرات بسبب استخدام التشفير القياسي في بروتوكول الاتصال الأصلي بين العميل والخادم، والذي يُستخدم بدلاً من بروتوكول TLS القياسي.
ماذا تفعل إذا كنت تستخدم تطبيق Threema؟
إذا اخترت استخدام تطبيق Threema معتقدًا أنه أكثر تطبيقات المراسلة تشفيرًا، وكنت لا تمانع في استخدام رقم هاتفك مع تطبيق المراسلة الفورية، وكذلك لا تريد أن تتعثر في التفاصيل الفنية، فمن الأفضل لك أن تنتقل إلى استخدام تطبيق (Signal)، فقد ثبت من خلال الاختراقات الحقيقية وأوامر المحكمة، أن مبادئ التشفير وتخزين البيانات بتطبيق Signal أكثر قوة ومقاومة لهجمات الاختراق.
إذا كنت بحاجة إلى استخدام تطبيق Threema باعتباره تطبيق المراسلة الرئيسي الذي تستخدمه في عملك، أو تحب أن يكون معرف هويتك في تطبيق Threema غير مرتبط برقم هاتفك، فيمكنك الاستمرار في استخدامه، ولكن كن على دراية بمخاطر ذلك.
تأكد من تفقد معرفات الهوية لجهات الاتصال الجديدة في تطبيق Threema والتحقق منها أكثر من مرة في وضع عدم الاتصال، واستخدام عبارات المرور لتسجيل الدخول الآمن.
كما يجب على المؤسسات المتوسطة والكبيرة التي تستخدم تطبيق Threema في عملياتها التجارية أن تفكر بجدية في الانتقال إلى استخدام تطبيق Threema OnPrem لتحظى بسيطرة كاملة على خوادم المراسلة.