هل هناك ثغرة في تطبيق واتساب تعرّض حياة الفلسطينيين في غزة للخطر؟

تُرجم هذا المقال عن موقع The Intercept

في 22 مايو/أيار الجاري، ذكر تقرير نشره موقع The Intercept الأميركي أنّ فريق أمن "واتساب"، تطبيق المحادثة المملوك لشركة ميتا، أصدر شهر مارس الفائت تحذيرًا داخليًا من أنّ مستخدمي التطبيق عرضة لنوع خطير من المراقبة الحكومية، وذلك على الرغم من قوة برنامج تشفير المحادثات الخاص بالتطبيق.

وبحسب تقرير تقييم الأخطار الذي حصل عليه موقع The Intercept، فإنّ محتوى المحادثات بين مستخدمي التطبيق، البالغ عددهم مليارين، في مأمن، لكن الوكالات الحكومية تنظر أبعد من التشفير لمعرفة أيّ من المستخدمين يتواصلون مع بعضهم البعض، وعضوياتهم في المجموعات الخاصة، وربما مواقعهم الجغرافية.

ترتكز الثغرة على "تحليل حركة مرور البيانات"، وهي تقنية مراقبة شبكات عمرها عدّة عقود، وتعتمد على مراقبة حركة مرور الإنترنت على نطاق وطني واسع. توضح الوثيقة أنّ واتساب ليس تطبيق المحادثة الوحيد المعرّض لهذا النوع من المراقبة، لكنها تحث شركة ميتا المالكة له أنّ تقرّر بسرعة ما إذا كانت ستمنح الأولوية لوظيفية تطبيق المحادثة خاصتها، أو لسلامة شريحة صغيرة من مستخدميه، ولكنها عرضة للخطر.

وأوصى التقييم شركة واتساب بالحد من "الاستغلال الجاري لثغرات تحليل حركة مرور البيانات، التي تسمح للدول بمعرفة من يتحدث إلى من". وجاء فيه "مستخدمونا المعرّضون للخطر بحاجة لوسائل حماية قوية ومستدامة ضد تحليل حركة مرور البيانات".

في سياق الحرب الجارية في غزة، أخبر أربعة موظفين The Intercept أنّ التحذير طرح احتمالًا مزعجًا بين بعض الموظفين في ميتا. خمّن طاقم واتساب أنّ إسرائيل قد تكون بصدد استغلال هذه الثغرة كجزء من نظامها لمراقبة الفلسطينيين، في وقت تساعد فيه المراقبة الرقمية في تحديد من يجب قتلهم في قطاع غزة.

وردّت المتحدثة باسم ميتا كريستينا لونيغرو "ليس لدى واتساب أبواب خلفية وليست لدينا في الوقت الحالي أدلة على وجود ثغرات في طريقة عمله".

وعلى الرغم من أنّ التقييم يصف "الثغرات" بأنها "قائمة"، ويذكر واتساب 17 مرة، قالت لونيغرو إنّ الوثيقة "لا تعبّر عن ثغرة في واتساب"، وأنّها "نظرية" فحسب، ولا تخص تطبيق واتساب وحده. ولم تجب لونيغرو عندما سُئلت عمّا إذا كانت الشركة قد حقّقت فيما إذا كانت إسرائيل قد استغلت هذه الثغرة.

وعلى الرغم من أن مضامين الاتصالات عبر واتساب غير قابلة للقراءة، إلا أنّ التقييم يُظهر كيف يمكن للحكومات استخدام وصولها إلى البنية التحتية للإنترنت، لمراقبة متى وأين تصدر الرسائل المشفرة، فيما يشبه مراقبة ساعي بريد وهو ينقل ظرفًا مختومًا. هذه النظرة على حركة مرور الإنترنت الوطنية كافية لتوليد استنتاجات قوية عن أيّ من الأفراد يتواصلون مع بعضهم، حتى لو بقي موضوع محادثاتهم لغزًا. "حتى إذا ما افترضنا أنّ تشفير واتساب غير قابل للفك"، يقول التقييم فإن هجمات "الجمع والربط" الجارية لا زالت تخرق نموذج الخصوصية المنشود.

تقييم أخطار واتساب لا يصف حالات محدّدة استُخدمت فيها هذه الطريقة من قبل جهات حكومية، لكنه يذكر تقاريرًا شاملة نشرتها ذا نيويورك تايمز ومنظمة العفو الدولية، أظهرت كيف تتجسس البلدان حول العالم على استخدام المعارضين لتطبيقات المحادثة المشفرة، بما في ذلك واتساب، باستخدام التقنيات نفسها.

مع تزايد اعتماد الحرب على الحواسيب، باتت البيانات الوصفية من، متى، وأين الخاصة بالمحادثات ذات قيمة كبيرة بالنسبة لأجهزة الاستخبارات، الجيش، والشرطة حول العالم. "نقتل الأشخاص بناء على البيانات الوصفية"، قال مدير وكالة الأمن القومي مايكل هيدن ذات مرة متهكّمًا.

لكن، حتى التحليل غير المؤسّس للبيانات الوصفية قد يكون قاتلًا، وفق ماثيو غرين، أستاذ علم التشفير في جامعة جون هوبكينز. "ارتباطات البيانات الوصفية هذه هي تحديدًا كما تبدو: ارتباطات. يمكن لدقتها أن تكون جيدة جدًا أو جيدة فقط. لكن يمكنها أيضًا أن تكون متوسّطة." يقول غرين. "طبيعة عمل هذه الأنظمة هي أنّها ستقتل الأبرياء ولن يعرف أحد السبب".

لم يتحول تقييم أخطار واتساب إلى نقطة توتر داخلي في ميتا، إلاّ بعد نشر عرض عن مقاربة حرب إسرائيل القائمة على البيانات.

كشف تقرير مشترك لمجلة +972 الإسرائيلية ولوكل كول، الشهر الفائت، أنّ جيش إسرائيل يستخدم برمجية تُدعى "لافندر" لمنح الضوء الأخضر لاغتيال الفلسطينيين في غزة. وذكر التقرير نقلًا عن ستة ضباط استخبارات إسرائيليين، أنّ لافندر، عبر التجّسس على كم هائل من البيانات عن سكان القطاع، البالغ عددهم 2.3 مليون شخص، يمنح خوارزميًا "كلّ شخص في غزة، تقريبًا، تقييمًا من 1 إلى 100، يعبّر عن احتمال كونه مقاتلًا". "عندما يصبح لدى فرد ما العديد من محدّدات الإجرام، سيصل إلى تقييم عالٍ، ويصبح تلقائيًا هدفًا محتملاً للاغتيال".

يضاف استخدام واتساب إلى العديد من الصفات الشخصية والسلوكات الرقمية، التي يستخدمها الجيش الإسرائيلي لتحديد الفلسطينيين الذين سيقتلهم، وذلك بحسب ما جاء في كتاب عن الاستهداف باستخدام الذكاء الاصطناعي، ألّفه القائد الحالي للوحدة 8200 -المرادف الإسرائيلي لوكالة الأمن القومي في الولايات المتحدة. ووفقًا لتقرير مجلة +972، "يقدم الكتاب دليلًا إرشاديًا مختصرًا لكيفية بناء "آلة أهداف"، تشبه في وصفها آلة لافندر، بالاعتماد على الذكاء الاصطناعي وخوارزميات تعلم الآلة". كما "يتضمّن هذا الدليل أمثلة عدّة على "مئات وآلاف" من الخاصيات، التي يمكن أن ترفع تقييم فرد ما، كأن يكون في مجموعة واتساب مع مقاتل معروف".

لم يرد الجيش الإسرائيلي على طلبٍ للتعليق، لكنه أخبر ذا غارديان الشهر الفائت أنّه "لا يستخدم نظام الذكاء الاصطناعي، الذي يتعرّف على الناشطين الإرهابيين أو يحاول التنبؤ بما إذا الشخص إرهابيًا". وقال الجيش إنّ لافندر هو "ببساطة قاعدة بيانات هدفها مقاطعة المصادر الاستخباراتية، بهدف إنتاج طبقات محيّنة من المعلومات عن الناشطين العسكريين للمنظمات الإرهابية. إنّه ليس قائمة نشطاء إرهابيين مؤكّدين ومؤهّلين لكي يهجم عليهم". 

وقالت مصادر الشركة الأربعة، التي تحدّثت بشرط عدم الإفصاح عن هويتها، خشية انتقام موظِّفها، إنّ العدد الأكبر من طاقم ميتا لم يكتشف تقرير تقييم أخطار واتساب لشهر مارس، إلاّ بعد نشر تقرير لافندر وما تبعته من كتابات عن الموضوع. أثارت قراءة كيف يمكن للحكومات استخلاص بيانات وصفية محدِّدة للشخصية من محادثات واتساب المشفرة قلقًا عميقًا من أنّ هذه التغرة نفسها، قد تُستغل لتغذية لافندر أو أنظمة استهداف الأخرى لدى الجيش الإسرائيلي.

وقالت المصادر، إنّ جهود الضغط على ميتا داخليًا من أجل الإفصاح عمّا تعلمه عن الثغرة وعن أيّ استعمال محتمل لها من قبل إسرائيل، لم تكن مثمرة، وهو ما يتماشى مع ما يصفونه بنمط رقابة داخلية أوسع ضد تعابير التعاطف والتضامن مع الفلسطينيين منذ بدء الحرب.

انضمّ موظفو ميتا القلقون من إمكانية وضع منتجهم أشخاصًا أبرياء في مرمى إسرائيل، والذين تنتابهم مخاوف أخرى تتعلّق بالحرب، إلى حملة يسمونها "ميتاميتس من أجل وقف إطلاق النار". نشرت المجموعة رسالة مفتوحة موقعة من طرف أكثر من 80 اسمٍ من أعضاء الطاقم. وتتمثل واحدة من مطالب الحملة في "إنهاء الرقابة، والتوقف عن حذف كلمات الموظفين داخليًا".

أخبر المتحدث باسم ميتا، آندي ستون The Intercept أنّ أيّ نقاش عن الحرب في مكان العمل يخضع لقواعد السلوك العامة في مكان العمل الخاصة بالشركة، وأنكر وجود تعامل استثنائي مع ذلك الخطاب. "سياستنا مكتوبة مع أخذ ذلك بعين الاعتبار وهي توضّح أنواع النقاشات المناسبة في مكان العمل. إن أراد الموظفون التعبير عن قلقهم، فإنّه توجد قنوات مخصصة لذلك".

وفق التقييم الداخلي، فإنّ الرهانات عالية: "تفتيش وتحليل حركة مرور الشبكة غير مرئي تمامًا بالنسبة لنا، لكنه يكشف الصلات بين مستخدمينا: من هم داخل مجموعة معًا، من يراسل من، و(الأصعب إخفاؤه) من يتصل بمن."

يشير التقييم إلى أنّ بإمكان حكومة ما التفطن بسهولة إلى استخدام شخص ما تطبيق واتساب، ويرجع ذلك جزئيًا إلى حتمية مرور البيانات عبر خوادم شركة ميتا، التي يمكن التعرف عليها بسهولة. يمكن للجهة الحكومية من ثمّة كشف هوية مستخدم تطبيق واتساب، عبر تعقّب عنوان بروتوكول الإنترنت (IP) الخاص بهم، وهو رقم فريد يتم تعيينه لكل جهاز متصل، وصولًا إلى مزود خدمة الإنترنت أو خدمة الهاتف الخليوي الخاص به.

حدّد فريق أمن واتساب الداخلي أمثلة عديدة عن كيف يمكن للملاحظة الذكية للبيانات المشفرة التصدي لحمايات الخصوصية على المنصة، باستخدام تقنية تُعرف، وفق هذا التقييم، بهجوم الارتباط. في واحد من تلك الأمثلة، يرسل أحد مستخدمي واتساب رسالة إلى مجموعة، مما يترتب عنه تدفّق حجم البيانات نفسه إلى أجهزة جميع أعضاء المجموعة. ويشمل هجوم ارتباط آخر قياس التأخير الزمني بين وقت إرسال رسائل واتساب ووقت استقبالها في محادثة بين طرفين. تكفي تلك البيانات، وفق اعتقاد الشركة، "لاستنتاج المسافة بين المستخدمين وربما أيضًا موقع كلِّ متلقٍ".

يشير التحذير الداخلي إلى أنّ هذه الهجمات تقتضي من كلِّ أعضاء مجموعة واتساب أو كلا طرفي محادثة ما أن يكونوا على الشبكة نفسها وأن يكونوا في البلد نفسه أو في “مناطق المعاهدة”، إشارة محتملة إلى تحالف "العيون الخمس" للتجسس بين الولايات المتحدة وأستراليا وكندا وبريطانيا ونيوزلاندا. وفي حين لدى قطاع غزة شركة اتصالاته الخاصة التي يشغّلها فلسطينيون، يمرُّ وصوله إلى الإنترنت في النهاية عبر كابلات الألياف البصرية الإسرائيلية، الخاضعة للمراقبة الحكومية. وعلى الرغم من أن المذكرة تفترض أنّ المستخدمين في “الديمقراطيات الوظيفية التي لديها مسار قانوني وقوانين خصوصية قوية ”قد يكونون أقل هشاشة من غيرهم، إلا أنّها تسلط الضوء أيضًا على استخدام وكالة الأمن القومي الأميركية (NSA) لتقنيات التنصف على الاتصالات هذه داخل الولايات المتحدة.

يقول غرين، أستاذ علم التشفير، لـ The Intercept إنّ "خدمات المراسلة اليوم لم تُصمّم لإخفاء البيانات الوصفية عن الأطراف الذين باستطاعتها رؤية جميع جوانب الاتصال". وأضاف "حماية المحتوى ليست سوى نصف المعركة. من تتواصل معه ومتى هو نصفها الآخر".

يكشف التقييم أنّ واتساب على علم بهذا التهديد منذ السنة الفائتة، ويشير إلى أنّ تقنيات المراقبة ذاتها تعمل ضد تطبيقات منافسة أخرى. "ما يقرب من جميع تطبيقات المراسلة الكبيرة وأدوات الاتصال لا تُضمّن هجمات حركة مرور البيانات في نماذج التهديدات الخاصة بها"، صرّح دونتشا أوه سيربهيل، مدير مخبر أمن منظمة العفو الدولية، لـ The Intercept، وأردف "بينما يعلم الباحثون أنّ هذه الهجمات ممكنة تقنيًا، ظل السؤال مفتوحًا عمّا إذا كانت هجمات كهذه عملية أو فعالة على نطاق واسع، مثل بلد بأكمله”.

يوضح التقييم أنّ مهندسي واتساب يدركون خطورة المشكلة، لكنهم يفهمون أيضًا صعوبة إقناع الشركة بحلها. ويشرح غرين كيف أنّ التوثيق الشامل لتقنيات كشف الهوية ومناقشتها في الأدبيات الأكاديمية، هما نتيجة لمدى صعوبة تحييدها بالنسبة لشركة مثل ميتا. “إنّها مقايضة مباشرة بين الأداء والاستجابة من جهة، وبين الخصوصية من جهة أخرى”.

وعند سؤاله عن الخطوات التي اتخذتها الشركة لحماية التطبيق من تحليل حركة مرور البيانات، أخبر المتحدث باسم ميتا The Intercept “لدينا سجل موثّق في التعامل مع المشاكل التي نرصدها وقد عملنا على محاسبة الأطراف السيئة. لدينا أفضل المهندسين في العالم وهم يسعون بشكل استباقي إلى زيادة صلابة أنظمتنا ضد أيّ تهديدات مستقبلية وسنستمر في القيام بذلك”.

يشير تقييم أخطار واتساب إلى أنّ تقوية الأمن مكلفة بالنسبة لتطبيق يفتخر بجماهيريته. سيكون من الصعب حماية المستخدمين بشكل أفضل ضد هجمات الارتباط، دون جعل التطبيق أسوء من جوانب أخرى، تشرح الوثيقة. بالنسبة لشركة عملاقة، يتم تداول أسهمها علنًا مثل ميتا، فإن حماية المستخدمين المعرضين للخطر سوف تتضارب مع تفويض الشركة القائم على الربح المتمثل في جعل برمجياتها سهلة الوصول ومستخدمة على نطاق واسع وقدر الإمكان.

قال مصدر من ميتا لـ The Intercept "إنّ لدى الشركة عادة سيئة هي عدم الاستجابة للأمور إلى أن تصبح مشكلات غامرة"، وذكر تقاعس الشركة عندما استُخدم فيسبوك للتحريض على العنف خلال إبادة الروهينغا في ميانمار. "ستظل نقطة الخلاف هي حصة سوق والهيمنة على السوق، من خلال التركيز على العدد الأكبر من الأشخاص بدل عدد صغير من الأشخاص، الذين يمكن أن يتعرضوا لأذى كبير".

يحذر التقرير من أنّ إضافة تأخيرٍ مصطنع للرسائل لإجهاض محاولات تحديد موقع مرسل ومستقبل البيانات، على سبيل المثال، سيجعل التطبيق يبدو أبطأ بالنسبة لملياري مستخدم، غالبيتهم لن يضطروا أبدًا للقلق حيال تلصّص الجهات الحكومية. جعلُ التطبيق ينقل تدفقات منتظمة من البيانات المموِّهة لإخفاء المحادثات الحقيقية، هي فكرة أخرى طرحها التقييم، ويمكن أنّ تخلّص المستخدم من الحكومات المتطفلة. لكنها قد تؤثر سلبًا على عمر البطارية وقد تصبح بسببها فواتير بيانات الجوال باهضة الثمن.

بالنسبة لفريق أمن واتساب، المقاربة الصحيحة واضحة. "لا يمكن لأمن واتساب حل مشكلة تحليل حركة مرور البيانات بمفرده"، يُقرأ في التقييم. "يجب أولاً أنّ نتفق جميعنا على خوض هذه المعركة، والعمل كفريق واحد لبناء وسائل الحماية لهؤلاء المستخدمين المعرّضين للخطر والمستهدفين. من هنا تبدأ موازنة مبدأ الخصوصية لمنتج واتساب الكامل مع أولويات الفريق الفردية".

تقترح المذكرة إمكانية تبني واتساب وضع سلامة معزّز للمستخدمين المعرّضين للخطر، يشبه "وضع الإغلاق" على نظام iOS الخاص بشركة آبل. لكن، حتى هذه الإعدادات الإضافية يمكن لها عن طريق الخطأ تعريض المستخدمين في غزة وفي مناطق أخرى للخطر، بحسب غرين، الذي يشرح أنّ "الأشخاص الذين يشغّلون هذه الميزة قد يصبحون بسببها أكثر إثارة للشكوك". ويضيف "يمكن لذلك أن يكون كافيًا لاتخاذ قرار الاستهداف… من المؤسف حقًا لو كان الشخص الذي فعّل الخاصية هو مجرد طفل".

اقرأ/ي أيضًا

تقرير: اعتماد إسرائيل على برامج الذكاء الاصطناعي لافندر لتحديد الأهداف يضاعف عدد الضحايا المدنيين

ميتا تقترح مزيدًا من الرقابة على المنشورات المناهضة للصهيونية