أعلن تطبيق المراسلة الفورية الشهير WhatsApp يوم الخميس عن ميزة جديدة للتحقق من الحساب تضمن عدم تأثير البرامج الضارة التي تعمل على الجهاز المحمول للمستخدم على حسابه.
وقالت الشركة المملوكة لشركة Meta في إعلان: "تعد البرامج الضارة للأجهزة المحمولة واحدة من أكبر التهديدات لخصوصية الأشخاص وأمنهم اليوم لأنها يمكن أن تستفيد من هاتفك دون إذنك وتستخدم WhatsApp لإرسال رسائل غير مرغوب فيها".
تم تصميم الإجراء الأمني ، الذي يسمى التحقق من الجهاز ، للمساعدة في منع هجمات الاستيلاء على الحساب (ATO) عن طريق حظر اتصال جهة التهديد والسماح لأهداف الإصابة بالبرامج الضارة باستخدام التطبيق دون أي مقاطعة.
بعبارة أخرى ، الهدف هو ردع استخدام المهاجمين للبرامج الضارة لسرقة مفاتيح مصادقة WhatsApp واختطاف حسابات الضحايا ، وبالتالي انتحال صفتهم لتوزيع البريد العشوائي وروابط التصيد على جهات اتصال أخرى.
يتم تحقيق ذلك بدوره من خلال تقديم رمز أمان يتم تخزينه محليًا على الجهاز ، وهو رمز تشفير لتحديد ما إذا كان عميل WhatsApp يتصل بالخادم لاسترداد الرسائل الواردة ، وتحدي المصادقة الذي يعمل بمثابة "ping غير مرئي" "من الخادم إلى جهاز المستخدم.
يُطلب من العميل إرسال رمز الأمان في كل مرة يتصل فيها بالخادم. يتم تحديث رمز الأمان ، من جانبه ، في كل مرة يجلب فيها رسالة دون اتصال من الخادم.
يعتبر تحدي المصادقة فشلًا عندما يستجيب العميل للتحدي من جهاز مختلف ، مما يشير إلى اتصال غير طبيعي ناشئ من مهاجم. يؤدي هذا إلى حظر الاتصال.
في حالة عدم وجود استجابة من العميل ، تتم إعادة محاولة العملية "عدة مرات أخرى" ، وبعد ذلك سيتم حظر الاتصال إذا كان العميل لا يزال لا يستجيب.
قال WhatsApp إن التحقق من الجهاز قد تم طرحه لجميع مستخدمي Android وأنه في طور نشره لمستخدمي iOS.
تعد هذه الميزة جزءًا من مجموعة أوسع من التحسينات الجديدة المصممة لمصادقة هويات المستخدمين والتحقق منها ، بما في ذلك عرض التنبيهات عندما تكون هناك محاولة لترحيل حساب WhatsApp من جهاز إلى آخر.
تم إطلاق ميزة الشفافية الرئيسية أيضًا بواسطة WhatsApp للتأكيد تلقائيًا على ما إذا كانت الدردشات مشفرة من طرف إلى طرف دون الحاجة إلى أي إجراءات إضافية من المستخدم.
للقيام بذلك ، يتم تنفيذ دليل جديد قابل للتدقيق ( AKD ) يعتمد على البروتوكولات الحالية مثل CONIKS و SEEMless لمساعدة المستخدمين على التحقق من أمان المحادثة.
وقالت الشركة: "سيمكن AKD عملاء WhatsApp من التحقق تلقائيًا من أن مفتاح تشفير المستخدم أصلي ويمكّن أي شخص من التحقق من صحة إثبات صحة الدليل".
يتطلب التحقق حاليًا من المستخدمين في الدردشة مقارنة رمز الأمان يدويًا (الموجود كرمز QR ورقم مكون من 60 رقمًا) عن طريق إرساله إلى المشارك على الطرف الآخر عبر الرسائل القصيرة أو البريد الإلكتروني ، أو بدلاً من ذلك عن طريق مسح رمز الاستجابة السريعة إذا الأطراف جسديا بجانب بعضها البعض.
رمز الأمان ليس سوى تجزئة فريدة لكل من زوج المفاتيح العام / الخاص الذي تم إنشاؤه لتسهيل المراسلة المشفرة من طرف إلى طرف. يمكن أن يتغير عندما يغير المستخدمون الأجهزة أو يعيدون تثبيت WhatsApp.
تعمل الشفافية الرئيسية على تبسيط عملية التحقق من خلال الاستفادة من التدفق الآلي الذي يحتفظ بسجل لتغييرات المفتاح العام في الدليل ، مما يسمح للعميل بالتحقق من ذلك.
تعتزم WhatsApp جعل هذه الميزة حية في الأشهر المقبلة ، على الرغم من أنها تستضيف بالفعل وتشغل دليل مفتاح قابل للتدقيق لجميع مستخدميها. وأضافت الشركة: "هذه آلية مهمة تمكن المستخدمين المهتمين بالأمن من التحقق من محادثة شخصية مشفرة من طرف إلى طرف بسرعة".