افشای پشت‌پرده واتساپ/ چت‌بات متا چطور امنیت شما را تهدید می‌کند؟

تینا مزدکی_شرکت متا اخیراً قابلیتی مبتنی بر هوش مصنوعی را به پیام‌رسان واتساپ اضافه کرده است که امکان تعامل کاربران با چت‌بات‌های هوشمند را فراهم می‌کند. با وجود آن‌که این ویژگی هنوز در بسیاری از کشورها فعال نشده، نگرانی‌هایی درباره‌ی تبعات امنیتی و حریم خصوصی آن مطرح شده است. در پی این اخبار، با آرین اقبال کارشناس امنیت سایبری در سردبیر پرس به گفت‌وگو پرداختیم.
این کارشناس، قابلیت هوش مصنوعی واتساپ را گامی فراتر از نقض حریم خصوصی توصیف کرد و به گفته‌ی او، نبود مستندات فنی، عدم متن‌باز بودن کدها و احتمال نفوذ به رمزنگاری سرتاسری واتساپ، همگی از عواملی هستند که این قابلیت را به گزینه‌ای نگران‌کننده برای کاربران تبدیل می‌کنند. مشروح این گفت‌وگو را در ادامه بخوانید.

هوش مصنوعی واتساپ، یک مرحله فراتر از نقض حریم خصوصی
این کارشناس امنیت سایبری در پاسخ به این پرسش که از نظر امنیتی این سرویس چه نگرانی‌هایی به همراه دارد، گفت:« این قابلیت هنوز روی تمام نسخه‌های واتس‌اپ فعال نشده و تنها برای برخی کشورها و مناطق خاص در دسترس قرار گرفته است. این ویژگی در ایران فعال نیست؛ احتمالاً خود شما هم روی گوشی‌تان آن را ندارید، من هم همین‌طور. من با شماره‌های کشورهای اطراف مثل دبی و ترکیه هم تست کردم و فعال نبود. با شمار ایران هم فعال نبود که طبیعتاً اگر آن هم فعال بود، ما در ایران نداشتیم. بنابراین، نخست باید گفت که این قابلیت فعلاً برای ما فعال نیست.»
او ادامه داد:«این سرویس واقعاً یک مرحله فراتر از نقض حریم خصوصی محسوب می‌شود؛ چراکه اصولاً خدمات مبتنی بر هوش مصنوعی که در پس‌زمینه به‌صورت دائمی در حال گوش کردن هستند، به‌ویژه در حوزه‌هایی مانند Voice Recognition، از لحاظ حفظ حریم شخصی کاربران نگران‌کننده‌اند. این سرویس‌ها دائماً در حال ارسال داده به سرورهای خود هستند تا بتوانند عملکرد داشته باشند. درست مانند Google Assistant، Amazon Alexa یا Siri اپل. طبیعی است که چنین مدل‌هایی مبتنی بر اعتماد کامل کاربر به شرکت ارائه‌دهنده هستند؛ و به‌صورت کلی این میزان از اعتماد، کار چندان درستی نیست.»

آرین اقبال

سوءاستفاده متا، از متادیتای کاربران!
او با تاکید بر این که در مورد شرکت متا به‌طور خاص، این نگرانی‌ها بیشتر می‌شوند گفت:«در مورد شرکت متا، این نگرانی در سطحی بسیار بالاتر قرار دارد. متا بارها نشان داده است که حفظ حریم خصوصی کاربران برایش اولویت ندارد و سوءاستفاده از داده‌ها را با سهولت انجام می‌دهد. برای مثال، مدتی پیش گزارش شد که این شرکت برای آموزش مدل‌های هوش مصنوعی خود از مقالات و کتاب‌هایی استفاده کرده که در سایت‌هایی مانند Sci-Hub یا Library Genesis بارگذاری شده‌اند. این منابع متعلق به خانم الکساندرا الباکیان هستند که طبق قوانین ایالات متحده، محتوای منتشر شده او محتوای سرقتی محسوب می‌شوند. استفاده از چنین داده‌هایی برای آموزش هوش مصنوعی، حتی در چهارچوب حقوقی آمریکا نیز نقض قوانین تلقی می‌شود.»
اقبال در مورد دیگر رفتارهای مشکوک متا گفت:« پیش‌تر مواردی از سوءاستفاده متا، از متادیتای کاربران گزارش شده بود. برای مثال، در فیس‌بوک زمانی که کاربر عبارتی را در کادر جست‌وجو وارد می‌کرد، حتی پیش از فشردن دکمه‌ی “Enter” آن اطلاعات به سرورهای فیس‌بوک ارسال و ذخیره می‌شد. شاید این داده‌ها محتوای محرمانه‌ای همچون عکس‌های شخصی یا مکالمات خصوصی نباشند، اما همین متادیتا هم می‌تواند برای ساخت پروفایل و بهره‌برداری‌های آتی مورد استفاده قرار گیرد. طبیعتاً برای یک کاربر ایرانی، سطح نگرانی با یک کاربر آمریکایی یا اروپایی متفاوت است، چراکه ما در ارتباط موثر با جهان قرار نداریم. اما در هر حال، متا در این زمینه‌ها شرکتی بی‌آبروی در این زمینه محسوب می‌شود.»
بر اساس گزارش‌های موجود هوش مصنوعی متا روی مصرف باتری و منابع گوشی تأثیر می‌گذارد. او در مورد چگونگی این تاثیر بر روی گوشی‌ها گفت:«به‌طور کلی، فعال بودن چنین سرویسی در پس‌زمینه‌ی گوشی، خود مشکلاتی را ایجاد می‌کند. همان‌طور که خودتان اشاره کرده‌اید، برای باتری و عملکرد گوشی مطلوب نیست. خدمات نوتیفیکیشن پیام‌رسان‌ها بخشی از هسته‌ی سیستم‌عامل هستند و از کانال‌های متفاوتی عبور می‌کنند؛ این‌طور نیست که برنامه دائماً در حال اجرا باشد.»
واتساپ بسیار مبهم و رازآلود است
این کارشناس در پاسخ به این پرسش که این مدل‌های هوش مصنوعی قابلیت رصد فعالیت‌های کاربران خارج از مکالمه را دارند یا فقط محدود به چت هستند گفت:« نکته‌ی مهم‌تر اینجاست. واتساپ از گذشته ادعای رمزنگاری سرتاسری داشته است. در واقع، نسخه‌ی اولیه‌ی آن مبتنی بر پیام‌رسان Signal بود که کاملاً متن‌باز است، هم سرور، هم کلاینت و هم الگوریتم‌های رمزنگاری‌اش؛ اما واتساپ چنین نیست. این سرویس بسیار مبهم و رازآلود است و مشخص نیست دقیقاً چه کاری انجام می‌دهد. اگرچه مدعی استفاده از کد بیس سیگنال است و تا مدت‌ها نیز رفتار آن مشابه سیگنال بود، اما به‌مرور فاصله گرفت و قابلیت‌هایی به آن اضافه شد که با رمزنگاری سرتاسری سازگار نیستند.»
او ادامه داد:« متا تاکنون هیچ‌گاه به‌صورت دقیق و فنی توضیح نداده که این اقدامات چگونه انجام می‌شوند. نه مستندات فنی در اختیار متخصصان قرار داده است و نه کد آن متن‌باز است که بشود آن را بررسی کرد. صرفاً یک‌سری ادعا مطرح شده، بدون امکان اثبات. حال بحث اصلی مربوط به همین قابلیت هوش مصنوعی است. تا زمانی که از این ویژگی فقط برای چت مستقیم استفاده شود، یعنی کاربر بتواند صرفاً وارد یک چت شود و با هوش مصنوعی مکالمه کند، مشکل خاصی نیست. اما اگر این هوش مصنوعی به گروه‌های کاربری اضافه شود، یا بتواند پیام‌های خصوصی را تحلیل کند، وضعیت بسیار نگران‌کننده خواهد شد.»
اقبال با توجه به تجربه شخصی خود گفت:« من شخصاً نتوانستم این قابلیت را تست کنم، چراکه برای خودم فعال نبود و ویدئویی هم از آن پیدا نکردم. اما اگر چنین قابلیتی وجود داشته باشد، دو حالت محتمل است که هر دو خطرناک‌اند؛ یا رمزنگاری سرتاسری واتساپ بی‌معناست و هوش مصنوعی متا واقعاً به پیام‌های گروه دسترسی دارد؛ یا اینکه نوعی در پشتی به حساب می‌آید، یعنی پیام‌ها از کلاینت (گوشی شما) به سرور هوش مصنوعی متا فرستاده می‌شوند، بدون توجه به رمزنگاری و هر دو سناریو نگران‌کننده‌ خواهند بود.در هر دو حالت، این اتفاق نوعی نشت اطلاعات است.»

عدم شفافیت متا، خود محل تردید است
اقبال در پاسخ به این پرسش که به‌طور کلی استفاده از چنین هوش مصنوعی‌هایی در پیام‌رسان‌ها مفید است یا نه، گفت:« اگر کسی در پلتفرمی مانند ایتا و دیگر پیام رسان‌های داخلی رمزنگاری نشده چت می‌کند، به مالک و سرور آن اعتماد کرده است؛ اما وقتی در یک پیام رسان رمزنگاری شده جهانی چت می‌کند حتما یک دلیلی دارد. به عنوان مثال فرد در تلگرام چت نمی‌کند و از واتساپ استفاده می‌کند، تلگرام قابلیت‌های بالاتری دارد اما شخص قطعا به خاطر قابلیت رمزنگاری داشتن واتساپ از آن استفاده می‌کند و حال این هوش مصنوعی آن را زیر سوال می‌برد. این مسئله نه‌تنها حریم خصوصی، بلکه امنیت دیگر اعضای گروه‌ها را نیز به خطر می‌اندازد.»
آرین اقبال، کارشناس امنیت سایبری در آخر برای کسانی که نگران امنیت خود هستند اینطور پیشنهاد داد:« پیشنهاد من برای کسانی که واقعاً نگران امنیت و حریم خصوصی خود هستند، استفاده از پیام‌رسان‌هایی مانند Signal یا Session است. این‌ها متن‌باز هستند، رمزنگاری‌شان قابل اثبات است و هیچ‌گونه قابلیت پنهانی در آن‌ها وجود ندارد. البته فیلتر بودن آن‌ها در ایران استفاده را دشوار می‌کند، اما اگر امنیت و حریم خصوصی برای کسی مهم باشد، این سختی‌ها قابل پذیرش است. برای افرادی هم که صرفاً به‌دنبال امکانات بیشتر هستند، پیشنهاد من استفاده از تلگرام است. در مجموع، واتساپ نه امنیت قابل اتکایی دارد و نه امکانات خاصی ارائه می‌دهد. تنها دلیلی که باعث استفاده گسترده از آن شده، سابقه‌ی آن است، در غیر این صورت، پیام‌رسان قابل اعتمادی به حساب نمی‌آید. اگر کسی واقعاً دغدغه‌ی امنیت و حریم خصوصی دارد، چه در برابر هکرها، چه در برابر خود شرکت ارائه‌دهنده، باید از پیام‌رسان‌هایی با رمزنگاری قابل اثبات و متن‌باز استفاده کند. توهم امنیت در واتساپ، واقعاً توهم عجیبی است؛ حتی اگر همه‌چیزش مانند سیگنال باشد، عدم شفافیت متا، خود محل تردید است. اضافه شدن هوش مصنوعی نیز تنها به این تردیدها دامن می‌زند و در عمل مانند یک در پشتی عمل می‌کند.»
۲۲۷۳۲۳