چندی پیش برایتان مقالهای را منتشر کردیم که در آن مقاله به بررسی نرم افزارهای پیامرسان و شبکههای اجتماعی مختلف پرداختیم تا بتوانیم آنها را از نظر سطح امنیتشان مورد بررسی قرار دهیم. ما در آن مطلب و در یک ردهبندی چهارتایی، امنترین آنها یعنی نرم افزار سیگنال و البته ضعیفترین آنها یعنی تلگرام را به شما عزیزان معرفی کردیم تا خودتان تصمیم بگیرید که آیا حاضرید ریسک خطر استفاده از این پیامرسان محبوب را به جان بخرید و همچنان به استفاده از آن ادامه دهید یا خیر.
در این مطلب میخواهیم بررسی کنیم که آیا امنیت تلگرام کم است و میتواند پیامها و اطلاعات شخصی کاربران را در معرض خطر قرار دهد و چرا استفاده از این پیامرسان تا این حد ایراد دارد؛ بنابراین اگر شما هم از کاربران تلگرام هستید تا انتهای این مقاله با ما همراه باشید تا نظرات کارشناسان امنیتی برتر جهان را دربارهی تلگرام بدانید و با چشمان بازتری برای ادامه دادن استفاده از این نرم افزار بتوانید تصمیم بگیرید.
تلگرام پیامها را رمزگذاری نمیکند!
بله شاید با توجه به حجم عظیم تبلیغات کمپانی سازندهی تلگرام و قابلیتهایی که برای نسخههای جدید آن شمرده میشود، خیلی از کاربران گمان میکنند که در حال استفاده از یکی از امنترین نرم افزارهای ارتباطی بر روی اسمارت فون یا تبلت خود هستند و هیچ خطری آنها و پیامهایشان را تهدید نمیکند. اگر شما هم اینگونه فکر میکنید، باید بگویم که متاسفانه اینطور نیست و ارسال پیامها در تلگرام با ریسک بالایی از نظر نفوذپذیری و هک شدن در بین راه مواجه است.
در واقع تلگرام پیامهای شما را بهصورت پیشفرض رمزگذاری نمیکند و برای فعال کردن این قابلیت و رمزگذاری تمام پیامهای خروجی از دیوایس خود، نیاز است که گزینهای را در منوهای این نرم افزار و خودتان بهصورت دستی فعال کنید. در عین حال اینکه داخل اسناد معرفی و تبلیغاتی این نرم افزار گفته میشود که تلگرام جزو امنترین اپلیکیشنهای این دسته است و امنیتی در سطح واتس اپ و حتی فراتر از آن دارد، اما در عمل این را نمیبینیم و تلگرام از قابلیت واتس اپ که بهصورت خودکار پیامهای متنی و تصویری خروجی از دیوایس را رمزگذاری میکند، برخوردار نیست.
رمزگذاری پیامها چه اهمیتی دارد؟
در واقع امروزه یک سیستم رمزگذاری به نام مبدا به مقصد یا همان End to End مد نظر توسعه دهندگان و متخصصان امنیتی قرار گرفته است که باعث میشود بالاترین سطح امنیت برای کاربران شبکههای اجتماعی و نرم افزارهایی که با اطلاعات شخصی کاربران در ارتباط است، فراهم شود. در واقع این قابلیت به این صورت عمل میکند که با در نظر گرفتن پروتکلهای خاصی که توسعه دهندگان برای آن تعیین کردهاند و با استفاده از یک کلید اختصاصی، پیامی که شما ارسال میکنید را رمزگذاری میکنند.
این رمزگذاری تنها در دیوایس شما انجام میشود و کلید خواندن و خارج کردن آن از حالت رمزگذاری شده نیز تنها بر روی دیوایس کاربر مقصد وجود دارد؛ بنابراین اگر حتی یک فرد سوم و بهطور مثال یک هکر، بتواند در بین راه به آن پیام، متن، صدا و یا تصویر نفوذ کند و دسترسی داشته باشد، تنها مجموعهای از رشتههای بیمعنی را پیش روی خود خواهد دید و عملا نمیتواند استفادهای از آنها داشته باشد.
بسیاری از کاربران تلگرام هستند که گمان میکنند ارتباطات آنها از طریق یک مسیر امن انجام میشود و پیامهای آنها بهصورت رمزگذاری شده ارسال میشوند، اما در عمل اینطور نیست و آنها نمیدانند که برای برخورداری از این قابلیت، نیاز است که تنظیمات اضافهای را فعال کنند.
این توضیحات را کریستوفر سوقویان (Christopher Soghoian) که از تکنولوژیستهای اصلی و عضو گروه تحلیلگران ارشد اتحادیهی آزادیهای مدنی ایالات متحدهی آمریکا محسوب میشود، به نویسندگان سایت گیزمودو ارائه کرده است. او در ادامه میگوید:
تلگرام تمام چیزهایی که دولت آمریکا به آنها احتیاج دارد را فراهم کرده است و من ترجیح میدادم که آنها از روشهای تایید شده و متودهای رمزنگاری کاربردی نرم افزارهای موفقی نظیر واتس اپ استفاده کنند. اگر این گزینه بهصورت پیشفرض فعال نشده باشد، هیچ فایدهای ندارد.
در واقع هنوز هیچکس نمیداند که بااینکه این گزینه و قابلیت رمزنگاری پیامها و کدگذاری بر روی آنها در اکثر شبکههای اجتماعی و نرم افزارهای پیامرسانی امروزی بهصورت پیشفرض وجود دارد، اما به چه دلیلی در تلگرام این قابلیت بهصورت پیشفرض فعال نیست و کاربران نیاز است که تنظیمات اضافهای را انجام دهند؛ ازآنجاکه اکثر کاربران هنگام انجام دادن چنین تنظیمات اضافهای تنبلی به خرج میدهند و معمولا به این چک کردنهای امنیتی اهمیت زیادی نمیدهند، به همین دلیل شرایط مناسبی برای افراد خرابکار و هکرها فراهم میشود.
آنهم در نرم افزاری مانند تلگرام که مسائل امنیتی و سطح حفاظتی بالا را همیشه بهعنوان یکی از شعارهای اصلی خود مطرح کرده است، این موضوع بههیچوجه قابل قبول نیست.
مشکلی دیگر در امنیت تلگرام ؛ نقص در رمزنگاری پیامها
حالا که متوجه شدید که رمزگذاری بر روی پیامها در تلگرام بهصورت پیشفرض انجام نمیشود، جالب است بدانید که این سیستم رمزنگاری در صورت فعال بودن هم دارای نقصهای زیادی است که باعث آسیبپذیری آن میشوند! توسعه دهندگان تلگرام سیستمی را در نرم افزار ارتباطی خود ایجاد کردهاند که از آن بهعنوان یک سیستم رمزنگاری اختصاصی یاد میشود، اما همین موضوع برای اکثر کارشناسان و متخصصان امنیتی، یادآور تجربههای ناموفقی است که این رویه بهجای استفاده از سیستمهای استاندارد در گذشته و در سرویسهای دیگر به دنبال داشته است.
آنها از یک پروتکل امنیتی به نام MTproto استفاده میکنند که دارای استفادههای بهشدت محدودتر و خانگیتری است و من تا به حال هیچ مدرک محکمی برای تایید امنیت آن مشاهده نکردهام.
آلن وودوارد (Alan Woodward)، استاد دانشگاه ساری (Surrey) که در جنوب شرقی کشور انگلستان واقع شده، با ارائهی توضیحات بالا از ضعیف بودن امنیت تلگرام انتقاد میکند. آقای وودوارد دو مشکل ابهام و تجربهی ناکافی را دلایل اصلی قابل قبول نبودن این پروتکل امنیتی عنوان میکند:
در حال حاضر ما بهدرستی نمیدانیم که این سیستم رمزنگاری بهطور کامل امنیت دارد و یا نا امن است. به دلیل ابهام و عدم شفاف سازی مسئولان تلگرام، این موضوع به یک نقطهی تاریک تبدیل شده و سنجش امنیت تلگرام بسیار سخت است. این یک امر بسیار رایج در میان کریپتوگرافرها (افرادی که در زمینهی طراحی سیستمهای رمزنگاری فعالیت میکنند) است که الگوریتمهای سیستم رمزنگاری خود را بهصورت کامل و واضح اعلام کنند، اما ما در حال حاضر در تاریکی قرار داریم. اگر شما تجربهی بسیار زیادی نداشته باشید، نباید به سراغ طراحی و ساخت سیستمهای کدگذاری اختصاصی خود بروید [خطاب به مسئولان تلگرام] و هیچکس نمیداند که آنها چرا این کار را انجام دادهاند!
آقای کریستوفر سوقویان، تحلیلگر ارشد اتحادیهی آزادیهای مدنی در ادامهی توضیحات خود به این نکته اشاره کرده است که وقتی پروتکلهای شناخته شده و الگوریتمهای رمزنگاری بسیار برجستهای نظیر سیگنال و واتس اپ وجود دارد، دلیلی ندارد که مدیران تلگرام به سراغ ساخت پروتکلهای خود بروند. در واقع وقتیکه این پروتکلها توسط کارشناسان برجستهی جهانی و تحت آزمایشهای بسیار پیچیده و گسترده مورد ستایش قرار گرفته و عملکرد درستی از خود نشان دادهاند، دلیلی برای ساخت یک سیستم جدید و به قول معروف «اختراع کردن دوبارهی چرخ» وجود ندارد.
متیو گرین در گفتگویی با نشریهی Daily Dot اعلام کرده که آنها به سراغ ساخت یک پروتکل اختصاصی رفتهاند. با توجه به پستی که در وبسایت تلگرام درج شده، چند ریاضی دان بسیار برجسته و باهوش در گروه توسعه دهندهی این نرم افزار وجود دارد که با ایدهای جدید تلاش کردهاند که پروتکل خود را توسعه دهند؛ آنها ریاضیدانان نابغهای هستند اما کریپتوگرافر نیستند.
در نهایت نیز به یکی دیگر از مشکلات تلگرام میپردازیم که آنهم امکان افشای اطلاعات مربوط به زمان آخرین ورود و آنلاین شدن کاربران است. آلن وودوارد در این باره میگوید که یک هکر میتواند با نفوذ به این سرورها و خواندن اطلاعات متا دیتا که بهراحتی توسط تلگرام قابل دسترسی است، آخرین زمان دقیقی که کاربر وارد این نرم افزار شده و یا از آن خارج شده است را مشاهده کنند و تلگرام این کار را مانند «یک قهرمان» انجام میدهد!
کلام آخر: امنیت تلگرام چندان بالا نیست
اگر میتوانید تمام نیازهای خود را از طریق واتس اپ، آیمسیج اپل و یا نرم افزار سیگنال برطرف کنید و به اکثر مخاطبان و آشنایان خود در این نرم افزارها دسترسی دارید، شاید بهترین و عاقلانهترین کار این است که به خاطر مشکل در امنیت تلگرام استفاده از آن را از همین حالا متوقف کنید و یا حداقل تا زمانی که این امنیت تلگرام به حد قابل قبولی برسد و شکافهای امنیتی آن پوشیده نشده است، اطلاعات حساس و فایلهای شخصی خود را از طریق دیگری برای مخاطبان خود ارسال کنید.
منتشرکننده : گجت نیوز