توهم امنیت حریم خصوصی در تلگرام


نوشته ای که در ادامه می خوانید در اصل تنها یک کامنت برای این مطلب بود اما چون طولانی شد تصمیم گرفتم بدون ویرایش، در اینجا کپی/پیست کنم. مسلما این نوشته برای آن دسته از طرفداران چشم و گوش بسته که در دنیای تلگرام ذوب شده اند و کوچکترین اطلاعی از مفهوم امنیت و پروتکل های رمزنگاری و اهمیت حفظ اطلاعات و حریم خصوصی نمی دانند جذابیتی نخواهد داشت. ضمنا مشکلاتی که در ادامه ذکر میکنم تنها مختص تلگرام نیست و به نظر میرسه که تمام پیامرسانهای ایرانی هم از این نقاط ضعف رنج میبرند. شاید در آینده مقاله مفصل تری در این مورد بنویسم.

چندتا نکته مهم در مورد امنیت تلگرام وجود داره. اول اینکه مسابقه هک کردن تلگرام فقط تبلیغاتی هست و جنبه عملی نداره. یعنی جوری سوال مسابقه رو طراحی کردن که عملا هیچکس قابل برنده شدن نباشه تا به این طریق کاربران رو فریب بدهند. مورد دیگه اینکه در این هیچ شکی نیست که اطلاعات روی سرورهای تلگرام بصورت plain text نگهداری میشه و این یعنی هرکسی که بتونه به سرور تلگرام نفوذ کنه (مثل هکرها) یا به صورت قانونی به این سرورها دسترسی پیدا کنه (مثل کارمندان تلگرام و کارمندان دیتاسنتری که تلگرام از اونجا سرویس میگیره) به همه اطلاعات تمامی کاربران تلگرام دسترسی خواهد داشت. مورد دیگه اینکه پروتکل mtproto اصلا ایمن نیست و از فناوری های قدیمی و تاریخ مصرف گذشته استفاده شده و دقیقا به همین خاطر چندماه پیش نسخه جدیدی از این پروتکل توسط تلگرام معرفی شد که البته من نسخه جدید رو بررسی نکردم و نمیدونم چقدر ایمن هست. مورد دیگه اینکه هم mtproto و هم نسخه جدید این پروتکل هردو در بهترین حالت با ssl/tls هیچ فرقی نداره چون اطلاعات رو تنها بین کلاینت و سرور رمز گذاری میکنه نه بین دو کلاینت. تنها جایی که تلگرام امنیت حریم خصوصی کاربران رو حفظ میکنه secret chat هست که باز هم از پروتکل mtproto استفاده میکنخ و به این دلیل که پروتکل mtproto توسط حرفه ای ها نوشته نشده و مورد بررسی قرار نگرفته میشه احتمال داد که secret chat هم امنیت نداره (اولین قانون رمزنگاری اینه که پروتکل مختص خودتون رو اختراع نکنید و از یه پروتکل ایمن، ساخته شده و تست شده توسط متخصصان رمزنگاری استفاده کنید). دلیل اولیه توسعه پروتکل mtproto یا آشنا نبودن سازندگان تلگرام با ساده ترین مفاهیم امنیتی بوده و یا یک حربه تبلیغاتی و پافشاری تلگرام بر روی توسعه نسخه جدید این پروتکل و عدم استفاده از یک پروتکل مطمئن مثل tls تنها حفظ حیثیت و یک حربه تبلیغاتی جدید هست برای عوام فریبی و نه بیشتر.

پیامرسان های ایرانی هم اغلب از ssl استفاده می کنند و تا جایی که میدونم متاسفانه مثل تلگرام، هیچکدوم از پیامرسان های ایرانی از رمزنگاری end-to-end استفاده نمی کنند. حال همه اینها در کنار هم به این معنیه که تلگرام در بهترین حالت همونقدر امنیت حریم خصوصی رو میتونه حفظ کنه که پیامرسانهای ایرانی، نه بیشتر و نه کمتر. همون اطلاعات خصوصی که کارمندان پیامرسانهای ایرانی به آنها دسترسی دارند، کارمندان تلگرام هم دسترسی دارند. مشکل زمانی بهتر خودش رو نشون میده که میبینیم کلاینت های رسمی تلگرام بصورت متن باز و طبق قوانین GPL منتشر میشه اما اغلب مردم از کلاینت های غیررسمی استفاده میکنند. کلاینت هایی که تنها یک fork از کلاینت های رسمی تلگرام هستند اما برخلاف قوانین تلگرام و GPL سورس هاشون رو منتشر نمی کنند و معلوم نیست با اطلاعات شما چکار میکنند. موضوع وقتی نگران کننده تر میشه که بفهمیم سازندگان این کلاینت های غیر رسمی هیچ نام و نشانی از خودشون منتشر نمیکنند و حتی اگر شما فقط از نسخه رسمی تلگرام استفاده کنید باز هم ممکنه حریم خصوصی شما به خطر بیوفته به دو دلیل: اول اینکه خیلی از کسانی که در تلگرام با آنها ارتباط دارید از نسخه های غیر رسمی استفاده میکنند و این نسخه ها (و احتمالا صاحبان بی نام و نشان آنها) به اطلاعات گفتگوهای شما دسترسی دارند. دلیل دوم رو هم بالاتر گفتم: مثل پیامرسانهای ایرانی، اطلاعات در سرورهای تلگرام بصورت plain text ذخیره میشه و کارمندان تلگرام، کارمندان دیتاسنتر و هکرها میتونند به این اطلاعات دسترسی داشته باشند.



بروزرسانی:

در این مورد بیشتر بخوانید:

https://virgool.io/@alimadadi/iran-will-fade-from-map-omkx1e5ndtv4

مطالب مرتبط:

http://vrgl.ir/KIZhi