EXPLAINER : End-To-End Encryption असूनही WhatsApp Chats बाहेर कशी येतात?

मुंबई, 28 ऑक्टोबर : जगातलं सर्वांत मोठं आणि लोकप्रिय मेसेंजिंग अॅप म्हणजे व्हॉट्सअॅप (WhatsApp). जगभरात दोन बिलियनहून अधिक युझर्स असलेलं व्हॉट्सअॅप, आपल्या वापरकर्त्यांच्या गोपनीयतेबाबत आपण जागरूक असल्याचं वारंवार स्पष्ट करत असतं. नुकतंच व्हॉट्सअॅपने आपण युझर्सना ‘एंड-टू-एंड एन्क्रिप्शन’ (WhatsApp End-to End Encryption) सुविधा देत असल्याबाबत अॅड कॅम्पेन राबवलं होतं. यातून तुमचे मेसेजेस पूर्णपणे सुरक्षित असल्याचा दावा व्हॉट्सअॅप करत आहे; मात्र एन्क्रिप्शन (Is encryption really enough?) सुविधा असली, तरी हॅकर्सना कित्येक माध्यमातून व्हॉट्सअॅप मेसेजेस पाहता येतात. याबाबतच आज आम्ही तुम्हाला माहिती देणार आहोत.

युझर्सचे सर्व मेसेजेस, फोटो, व्हिडिओ, व्हॉइस मेसेज, डॉक्युमेंट्स आणि कॉल्सही एंड-टू-एंड एन्क्रिप्शनने सुरक्षित राहत असल्याचं व्हॉट्सअॅप सांगतं. याच्या मदतीने एखादा संदेश पाठवणारी व्यक्ती आणि तो रिसीव्ह करणारी व्यक्ती या दोघांव्यतिरिक्त कोणीही तो संदेश (किंवा पाठवण्यात आलेला मल्टिमीडिया) पाहू शकत नाही. कोणती दुसरी कंपनी, व्यक्ती किंवा मग खुद्द व्हॉट्सअॅप किंवा व्हॉट्सअॅपची पॅरेंट कंपनी असलेले फेसबुकही (Whatsapp and FB cannot read messages) तो संदेश पाहू शकत नाही असं व्हॉट्सअॅपचं म्हणणं आहे.

व्हॉट्सअॅपने दिलेल्या माहितीनुसार, ‘सिग्नल एन्क्रिप्शन प्रोटोकॉल’च्या (Signal Encryption Protocol) मदतीने सर्व चॅट्स एका प्रकारे तिजोरीत बंद ठेवण्यासारखं असतं. अशी तिजोरी, ज्याची चावी केवळ संदेश पाठवणारा आणि रिसीव्ह करणारा यांच्याकडेच असेल. विशेष म्हणजे, हे एन्क्रिप्शन फीचर (Whatsapp Encryption feature) हे स्वयंचलित आहे. तुम्हाला हे फीचर सुरू करण्यासाठी काही सेटिंग्ज करण्याची गरज नाही किंवा स्पेशल सिक्रेट चॅट सुरू करण्याचीही गरज नाही. सिग्नल एन्क्रिप्शन हा एक क्रिप्टोग्राफिक प्रोटोकॉल (Cryptographic Protocol) आहे, जो ओपन व्हिस्पर सिस्टीम्स या कंपनीने 2013 साली तयार केला होता.

अर्थात, आपले सर्व मेसेजेस एंड-टू-एंड इन्क्रिप्टेड असल्याचं व्हॉट्सअॅप सांगत असलं; तरी मेसेजेसचा रिसीव्हर एखाद्या व्हेंडरच्या मदतीने संभाषण करत असेल, तर ते चॅट एंड-टू-एंड एन्क्रिप्टेड नसल्याचंही व्हॉट्सअॅपने स्पष्ट केलं आहे.

बऱ्याच वेळा चॅट्स ‘लीक’ होतात, तेव्हा खरंतर त्यांचे स्क्रीनशॉट्स लीक (Screenshots leak) झालेले असतात. हे अर्थातच, मेसेज पाठवणाऱ्या व्यक्तीने, रिसीव्ह करणाऱ्या व्यक्तीने किंवा त्यांचा मोबाइल जे वापरू शकतात त्यांनी लीक केलेले असतात. अशा लीकची जबाबदारी आपण घेत नसल्याचं व्हॉट्सअॅपने (Whatsapp not responsible for Screenshot leak) आपल्या प्रायव्हसी पॉलिसीमध्ये आधीच स्पष्ट केलं आहे. “कोणताही वापरकर्ता आपल्या चॅट्सचे स्क्रीनशॉट घेऊन ठेवू शकतो किंवा कॉल्सचं रेकॉर्डिंग सेव्ह करून ठेवू शकतो. हा डेटा तो व्हॉट्सअॅपवर किंवा अन्य कोणत्याही प्लॅटफॉर्मवर इतरांसोबत शेअरही करू शकतो,” असं व्हॉट्सअॅपने म्हटलं आहे.

सध्या ड्रग्स प्रकरणामध्ये बॉलिवूडच्या अनेक सेलिब्रिटींचे चॅट्स एनसीबी आणि इतर अधिकारी पाहत असल्याचं आपण बातम्यांमध्ये पाहिलं आहे. हे करण्यासाठी ते मोबाइलमधल्या व्हॉट्सअॅप चॅट बॅकअॅपची (Whatsapp Chat Backup) मदत घेतात. याचाच अर्थ, एखाद्या व्यक्तीने तुमचा फोन क्लोन (Phone clone) केला, म्हणजेच त्यातला सर्व डेटा कॉपी करून घेतला तर त्या व्यक्तीलाही तुमच्या व्हॉट्सअॅप चॅट्स पाहता येणार आहेत. यासोबतच, सध्या असे अनेक स्पायवेअर्स उपलब्ध आहेत जे फोनमध्ये दाखल झाल्यानंतर हॅकर्सना तुमच्या फोनमधल्या सर्व अॅक्टिव्हिटीज कळतात. अशा वेळी व्हॉट्सअॅपचं एंड-टू-एंड एन्क्रिप्शनदेखील काहीही करू शकत नाही; कारण संदेश पाठवणाऱ्या व्यक्तीच्या फोनवरच हल्ला झालेला असतो. इस्रायलमध्ये डेव्हलप झालेल्या पेगासस सॉफ्टवेअरनेही (Pegasus software) असेच बरेचसे व्हॉट्सअॅप चॅट्स लीक केले होते.

याव्यतिरिक्त, व्हॉट्सअॅप चॅट्स लीक करण्यासाठी आणखी एक मार्गही उपलब्ध आहे. व्हॉट्सअॅप आपल्या चॅट्सचा बॅकअॅप केवळ फोनमध्येच नाही, तर क्लाउडमध्येही सेव्ह करतं. आता व्हॉट्सअॅपकडे स्वतःचं क्लाउड स्टोरेज उपलब्ध नाही. त्यामुळे क्लाउडवर चॅट्स सेव्ह करण्यासाठी व्हॉट्सअॅप गुगल ड्राइव्ह किंवा आय क्लाउड अशा क्लाउड सुविधांची मदत घेतं. विशेष म्हणजे, क्लाउडवर सेव्ह करण्यात आलेले चॅट्स एन्क्रिप्टेड (WhatsApp Cloud Backup not encrypted) नसतात. त्यामुळे कोणी तुमचं गुगल ड्राइव्ह वा आय क्लाउड स्टोरेज हॅक केलं आणि तिथे तुमचे व्हॉट्सअॅप चॅट्स सेव्ह असतील, तर ते चॅट्स मिळवणं हॅकर्ससाठी अगदीच सोपं असतं. अर्थात, यावर उपाय म्हणून क्लाउडमधल्या चॅट बॅकअॅपलाही एन्क्रिप्शन (End-to-end encryption for cloud backup) सुविधा देण्यावर काम सुरू असल्याचं मार्क झुकरबर्गने सप्टेंबरमध्येच स्पष्ट केलं आहे.

कित्येक वेळा सरकारी एजन्सीज आणि व्हॉट्सअॅपमध्ये गोपनीय माहिती शेअर करण्यावरून वाद झाले आहेत. सुरक्षेच्या कारणास्तव या संस्था व्हॉट्सअॅपकडे जेव्हा माहिती मागतात, तेव्हा वापरकर्त्यांच्या गोपनीयतेबाबत (User Privacy) आपण कोणतीही तडजोड करणार नसल्याचं व्हॉट्सअॅप म्हणतं; पण त्यांच्या या म्हणण्यात कितपत तथ्य आहे?

व्हॉट्सअॅपच्या प्रायव्हसी पॉलिसीमध्ये (WhatsApp Privacy policy) असं स्पष्टपणे म्हटलं आहे, की सामान्यतः ते युझर्सचा डेटा पाहू शकत नाहीत किंवा सेव्ह करत नाहीत; मात्र अत्यंत गरज असेल तेव्हा व्हॉट्सअॅप असा डेटा पाहू, सेव्ह करू आणि शेअरही करू शकतं (Can WhatsApp see our messages) असंही त्यांनी स्पष्ट केलं आहे. “वापरकर्त्याच्या सुरक्षेसाठी, एखादी बेकायदेशीर गोष्ट थांबवण्यासाठी किंवा तिचा तपास करण्यासाठी, कायदेशीर प्रक्रियेसाठी किंवा सरकारच्या विनंतीनुसार किंवा मग आमच्या अटी व पॉलिसीज राबवण्यासाठी आम्ही युझर्सचा डेटा पाहू शकतो,” असं व्हॉट्सअॅपचं म्हणणं आहे.

केवळ याच परिस्थितीमध्ये नाही, तर वापकर्त्यांच्या तक्रारीनुसारही व्हॉट्सअॅप आपले मेसेजेस पाहू शकते. “व्हॉट्सअॅप आमचे मेसेज पाहू शकत नाही, तर एखाद्या युझरने विशिष्ट मेसेजबाबत तक्रार केल्यानंतर त्याचं निवारण तुम्ही कसे करता?” असा प्रश्न प्रोपब्लिकाने या वर्षीच्या सप्टेंबरमध्ये व्हॉट्सअॅपला विचारला होता. त्यावर उत्तर देताना व्हॉट्सअॅपने सांगितलं, की टेक्सास, सिंगापूर आणि डब्लिनमध्ये असणारे सुमारे एक हजार कर्मचारी अशा ‘फ्लॅग’ करण्यात आलेल्या मेसेजेसवर लक्ष ठेवून असतात. “एखाद्या व्यक्तीने तक्रार केल्यानंतर, त्यासंबंधी तपास करण्यासाठी आम्ही तक्रारदार आणि ज्याच्याबाबत तक्रार केली आहे तो यूझर अशा दोघांची माहिती गोळा करतो,” असं व्हॉट्सअॅपने आपल्या प्रायव्हसी पॉलिसीमध्येही म्हटलं आहे.

अर्थात अशा वेळी व्हॉट्सअॅप काही प्रमाणातच माहिती मिळवू शकतं; पण तरीही, व्हॉट्सअॅपकडे लोकांच्या मेसेजेसवर लक्ष ठेवण्यासाठी संपूर्ण टीम आहे, तर मग युझर्सचे चॅट्स खरंच ‘प्रायव्हेट’ आहेत का, असा प्रश्न प्रोपब्लिकाच्या अहवालात उपस्थित करण्यात आला आहे. याच अहवालात हेही म्हटलं आहे, की व्हॉट्सअॅप गोळा करत असणारा ‘मेटा डेटा’ (Meta Data) हा एन्क्रिप्शन पॉलिसीअंतर्गत येत नाही. या मेटा डेटामध्ये वापकर्त्याचं लोकेशन, फोन नंबर अशी महत्त्वाची माहिती असते. हा मेटा डेटा लीक होणंही धोकादायक ठरू शकतं. शिवाय व्हॉट्सअॅपही सुरक्षा संस्थांच्या मागणीनुसार हा डेटा त्यांना पुरवू शकतं.

एवढं सगळं असताना हाच प्रश्न उरतो, की खरंच व्हॉट्सअॅप त्यांच्या दाव्याप्रमाणे सुरक्षित आहे का?