0/10

زمان آن رسیده که از تلگرام کوچ کنید

نقص‌های امنیتی تلگرام را نادیده نگیرید

0/10 ۰ ۰۸ مرداد ۱۴۰۳ مقالات فناوری کپی لینک

تلگرام به‌عنوان یک پیام‌رسان سریع، چندپلتفرمی و وب‌محور به‌شما اجازه می‌دهد شماره تلفن خود را پنهان کنید و تنها از طریق نام کاربری افراد را پیدا کنید. این اپ آنقدر کامل و بی‌نقص است که تقریبا هیچ رقیبی ندارد، اما وقتش رسیده که از آن دل بکنیم و برویم سراغ اپلیکیشن دیگری.

تلگرام یکی از سوپر اپلیکیشن‌هایی است که نه‌تنها به‌عنوان یک‌ پیام‌رسان بی‌نقص کار می‌کند، از کیف پول گرفته تا آنالیز و بازی و حتی روش‌هایی برای درآمدزایی دارد، به‌طوری‌که کاربران نیازی به استفاده از دیگر اپ‌ها را ندارند. توسعه این اپ با سرعت فوق‌العاده‌ای ادامه یافته و همچنان ویژگی‌هایی را ارائه می‌دهد که لازم است اپلیکیشن‌های دیگر نیز شامل آن‌ها شوند، مانند ترجمه همزمان چت‌ها و پیام‌های پاک‌شونده در‌صورتی‌که رمز عبور خود را فراموش کنید.

از بسیاری جهات، این اپلیکیشن همچنان از نظر عملکرد شگفت‌انگیز است. با این حال، دیگر نمی‌توان از آن استفاده کرد و لازم است به فکر اپلیکیشن دیگری باشیم. اما یکی از دلایلی که لازم است به پیام‌رسان دیگری مهاجرت کنیم شاید عادت تلگرام به حاشیه‌سازی است. سهولت انتشار اطلاعات نادرست در این پیام‌رسان به‌طور جدی نگران‌کننده است، به‌ویژه زمانی که هوش مصنوعی می‌تواند رسانه‌های جعلی بسازد و نقش آن در جنگ روسیه-اوکراین موضوعی پیچیده و مشکل‌ساز است.

منشأ روسی اپلیکیشن که معمولاً برای کاربران غربی زنگ خطر را به صدا در می‌آورد موضوع مهمی نیست اما افرادی است که پشت پرده آن را مدیریت می‌کنند، موجبات نگرانی‌های تازه‌ای را فراهم کرده‌اند. هرچند ممکن است نگرانی‌هایی درباره واتس‌اپ یا سیگنال داشته باشید، اما حالا زمان آن است که به آن‌ها منتقل شوید. در ادامه به این دلایل می‌پردازیم.

اهمیت رمزگذاری end to end (E2EE) را نمی‌توان دست‌کم گرفت. اگر داده‌های شما با E2EE محافظت شده باشد، تنها می‌توانید به آن دسترسی داشته باشید. نه ارائه‌دهندگان خدمات و نه حتی هکرها می‌توانند رمزگذاری به‌درستی پیاده‌سازی‌شده از این نوع را بشکنند. آن‌ها باید با روش‌های دیگری شما را به خطر بیندازند. در سطح بسیار بالا، E2EE به این معناست که داده‌ها بر روی دستگاه شما رمزگذاری می‌شود قبل از اینکه ارسال شود و تنها توسط گیرنده و نه هیچ‌کس دیگر رمزگشایی می‌شود. هر دو واتس‌اپ و سیگنال از آن به‌طور پیش‌فرض پشتیبانی می‌کنند. با تلگرام، E2EE اختیاری است.

به‌طور پیش‌فرض، telegram از رمزگذاری سرور-کلاینت استفاده می‌کند، به این معنا که داده‌ها به محض رسیدن به سرور رمزگذاری می‌شود. این دو مشکل عمده ایجاد می‌کند: اول، داده‌ها ممکن است در مسیر به سرور شنود شوند؛ دوم، شما باید به سرور نگهدارنده اطلاعات اعتماد کنید که به آن دسترسی نداشته باشد. اعتماد یک سیاست ضعیف برای امنیت است. E2EE به این معناست که نیازی به نگرانی درباره نفوذ امنیتی سرور (هکرها) یا کار داخلی (کارمندان شرکت) در داده‌های شما ندارید. حتی اگر بتوانید به تلگرام کاملاً اعتماد کنید، نقض‌های داده چیزی است که به نوعی اجتناب‌ناپذیر است؛ همانطور که می‌گویند، مسأله این نیست که آیا هک می‌شوید، بلکه این است که کی هک می‌شوید.

تلگرام از رمزنگاری E2EE پشتیبانی می‌کند، اما آن را چت‌های مخفی می‌نامد. برای کاربران جدید مشخص نیست که چت‌های مخفی چیستند یا اینکه باید آن را به‌طور خاص فعال کنند. تا زمانی که تلگرام E2EE را به‌طور پیش‌فرض فعال نکند یا به‌وضوح مشخص نکند که آن را فعال نمی‌کند، کاربران باید به دنبال پلتفرمی دیگر برای میزبانی مکالمات خصوصی خود باشند.

واتس‌اپ و سیگنال از پروتکل رمزگذاری سیگنال استفاده می‌کنند، نوعی رمزنگاری E2EE که توسط کارشناسان امنیتی تأیید شده است. مهم است که این پروتکل متن‌باز است، به این معنا که هر کسی می‌تواند کد را بررسی کرده و به ساخت آن کمک کند و اپلیکیشن سیگنال خود توسط کارشناسان امنیتی واقعی ساخته شده است. این یک مطالعه موردی از امنیت خوب است، بنابراین دولت‌های استبدادی و سیاستمداران ناآگاه آن را نفرت‌انگیز می‌دانند. با این‌حال، همچنان استفاده از آن آسان است و بدون مصالحه‌های عمده برای راحتی کاربر است. نمی‌توان همین را درباره MTProto، پروتکل رمزگذاری اختصاصی تلگرام گفت.

MTProto 1.0 به محض معرفی در سال ۲۰۱۵، آسیب‌پذیری‌های امنیتی نگران‌کننده‌ای داشت. خوشبختانه، نسخه 2.0 با امنیت بیشتر در سال ۲۰۱۷ معرفی شد، اما مشکلات به آنجا ختم نشد. در سال ۲۰۱۹، شیلدر ۱۳ آسیب‌پذیری جدید کشف کرد. محققان از دانشگاه رویال هالووی لندن در سال ۲۰۲۱ تحلیلی عمیق از MTProto انجام دادند و “چندین ضعف رمزنگاری در پروتکل که از نظر فنی جزئی و آسان برای بهره‌برداری تا پیشرفته‌تر بود” را کشف کردند. تمام این مشکلات برطرف شد، اما نمی‌توان مشخص کرد که چندین آسیب‌پذیری دیگر وجود دارد. در عین حال، سوابق پروتکل رمزگذاری سیگنال عملاً بدون نقص است.

علاوه‌بر‌این، چت‌های مخفی تلگرام نه به اندازه‌ای جذاب و نه راحت برای استفاده هستند. آنها به‌طرز وحشتناکی کند هستند، تنها بر روی یک دستگاه باقی می‌مانند، جدا از چت‌های ابری عادی با همان شخص هستند و از قابلیت‌های اساسی مانند پاسخ به پیام‌ها پشتیبانی نمی‌کنند که در مورد واتس‌اپ و سیگنال این‌گونه نیست. با توجه به اینکه MTProto تاریخچه‌ای پر از نقص دارد، شما دو مشکل را با هم دریافت می‌کنید؛ امنیت بدتر و تجربه کاربری ضعیف‌تر. آیا ویژگی‌های telegram واقعاً آنقدر شگفت‌انگیز هستند که این مشکلات واضح را نادیده بگیرید.

پاول دورف، بنیان‌گذار و مدیرعامل telegram، نسخه روسی مارک زاکربرگ است، اگر زاک کمی ضد‌مؤسسات باشد. او VK (معادل روسی فیس‌بوک) را در سال ۲۰۰۶ تأسیس کرد و سپس در سال ۲۰۱۴ تمام سهام خود را فروخت و از کشور فرار کرد تا با ضبط داده‌های کاربران VK توسط FSB (معادل FBI روسیه) همکاری نکند. با‌این‌حال، درگیری‌های دورف با کرملین به همین‌جا ختم نشد. در سال ۲۰۱۸ وقتی دورف از ارائه داده‌های کاربران خودداری کرد، دولت روسیه تلگرام را به‌طور سراسری مسدود کرد. در سال ۲۰۲۰، این اپلیکیشن دوباره باز شد، اما نه به‌خاطر اینکه کرملین از بازی با دورف عقب‌نشینی کرد. CCN گزارش می‌دهد که پارلمان روسیه با تلگرام توافقی مبهم و غیررسمی برای همکاری به امضاء رساند.

هنوز اطلاعات درستی از این همکاری در دسترس نیست جز “ممنوع کردن کانال‌های غیرقانونی”، به‌ویژه در رابطه با افراط‌گرایی و تروریسم. البته ممکن است این موضوع خوب به‌نظر برسد، تا زمانی‌که در نظر بگیریم رژیم استبدادی روسیه جامعه LGBTQIA+ را نیز در این فهرست قرار می‌دهد. اکنون شواهدی از منابعی مانند Wired وجود دارد که نشان می‌دهد کرملین از تلگرام به عنوان دستگاه نظارتی غیررسمی استفاده می‌کند، یا به این دلیل که تلگرام بیشتر از آنچه نشان می‌دهد همکاری می‌کند یا به این‌دلیل که امنیت آن آنقدر ضعیف است که دولت به آن نفوذ کرده است. هیچ کدام خوب نیست، به‌ویژه برای اوکراین که از این اپلیکیشن به‌عنوان ابزاری حیاتی برای ارتباط استفاده می‌کند.

علاوه‌بر‌این، تلگرام اعتراف می‌کند که اگر مجبور شود داده‌ها را تحویل خواهد داد، اما به کاربران اطمینان می‌دهد که هنوز این کار را نکرده است. با توجه به اینکه تلگرام به‌طور فعال با کرملین همکاری می‌کند، این ادعا در بهترین حالت مشکوک است. با توجه به اینکه دولت روسیه هر چیزی را که مناسب باشد افراط‌گرایی می‌نامد، آن‌ها می‌توانند هر کاربر را بنا‌بر اراده خود افراط‌گرا تلقی کنند.

یکی از بزرگ‌ترین جذابیت‌های تلگرام، جوامع و گروه‌های متنوع و پر رونق آن است. چت‌های گروهی آن می‌توانند تا ۲۰۰,۰۰۰ عضو داشته باشند و شامل بسیاری از ویژگی‌های شگفت‌انگیز هستند که تلگرام را به یک پلتفرم عالی تبدیل می‌کند. فکر کنید مانند سرورهای جامعه Discord. مشکل این است که نظارت ضعیف تلگرام باعث شده که این پلتفرم به پناهگاهی برای بدترین بخش‌های اینترنت تبدیل شود.

بد نیست به برخی از نگرانی‌هایی که Guardio، یک سازمان امنیت سایبری، مطرح کرده بپردازیم. این سازمان اپلیکیشن را به‌عنوان بهشتی برای کلاهبرداران معرفی کرده است و در گزارشی به جزئیاتی پرداخته که چگونه تلگرام کیت‌های آماده فیشینگ را برای سرقت اعتبارنامه‌های افراد فراهم می‌کند. کاربران Reddit شکایت می‌کنند که تقریباً با ربات‌ها اشباع شده است و Vox می‌گوید که این پلتفرم انتخاب راست‌گرایان افراطی است. Wired آن را به‌عنوان ابزاری برای سازمان‌های تروریستی مانند حماس برای توزیع گسترده تبلیغات شناسایی کرد و Fortune گزارش می‌دهد که جایی است که می‌توانید مواد مخدر و سلاح‌های غیرقانونی بخرید.

جالب است بدانید که این لیست خیلی عریض و طویل است. یکی از نگران‌کننده‌ترین افشاگری‌ها درباره تلگرام از خود این پلتفرم است. پاول دورف در مصاحبه‌ای با تاکر کارلسون اعتراف کرد که این شرکت ۳۰ مهندس دارد. کارشناسان امنیتی به تلگرام انتقاد کردند هم به‌خاطر اینکه این تعداد کافی نیست و هم به‌خاطر اظهار‌نظر دورف درباره اینکه آیا تیم او شامل موقعیت‌های کلیدی مانند رئیس امنیت است، مبهم بود.

تیم کوچک بر روی یک پلتفرم پیام‌رسان با تقریباً یک میلیارد کاربر با رمزگذاری ناقص قطعا فاجعه است. از یک طرف، به‌نظر نمی‌رسد که تلگرام برای مدیریت نقض‌های امنیتی مجهز باشد. فقط در امور روزمره، این تیم مهندسان وظایف زیادی دارد. آن‌ها ویژگی‌های جدیدی را پیاده‌سازی می‌کنند در کنار تست و وصله کردن باگ‌های MTProto. این چیزی است که به جنبه‌های دیگر مانند نظارت بر محتوا، که تلگرام از طریق یک نیروی داوطلب نه یک تیم حرفه‌ای و تأیید شده انجام می‌دهد، اشاره نمی‌کند.

نگهداری تلگرام ارزان نیست؛ هیچ شرکتی در حوزه فناوری ارزان نیست. علاوه‌بر آن، تلگرام (مانند بسیاری از شرکت‌های فناوری) هنوز به سوددهی نرسیده است. با این‌حال، این اپلیکیشن خود را به‌عنوان پلتفرمی که حریم خصوصی را در اولویت قرار داده تبلیغ می‌کند و عمداً تصمیم گرفته است که E2EE را به عنوان پیش‌فرض نداشته باشد. تلگرام از ما می‌خواهد که به آن در مورد پیام‌هایمان اعتماد کنیم، اما چگونه می‌تواند این کار را انجام دهد اگر نیروی کار لازم را برای پایبندی به قول خود ندارد؟

زمانی که از تلگرام در مورد نقص‌های MTProto سوال شده، از یک مسابقه بزرگ که در گذشته برگزار کرده یاد می‌کند که ثابت کند رمزگذاری آن بی‌نقص و قوی است. براین‌اساس، تلگرام مسابقه‌ای برگزار کرد که هر کسی که رمزگذاری تلگرام را بشکند، ۳۰۰,۰۰۰ دلار جایزه می‌برد. و در نهایت هیچ‌کس نتوانست و خود را شکست‌ناپذیر توصیف کرد و پرونده بسته شد. با‌این‌حال، آن مسابقه در سال ۲۰۱۵ برگزار شد و حداقل یک کارشناس معتقد است که این مسابقه چیز زیادی را ثابت نمی‌کند.

سایت Crypto Fails استدلال می‌کند که مسابقه منصفانه‌ای برگزار نشد زیرا تلگرام قدرت کافی به دشمنان نداده بود تا واقعاً MTProto را امتحان کنند. آن‌ها همچنین استدلال کردند که پروتکل بسیاری از کارهایی را انجام می‌دهد که برخلاف خرد رمزنگاری متعارف‌، مانند استفاده از تابع هش SHA1 خراب است. تلگرام به این انتقادات پاسخ داد و استدلال کرد که تمرکز آن بر سرعت و قابلیت اطمینان بیش از امنیت است که Crypto Fails به آن پاسخ داد.

واقعاً نگران‌کننده است که این مسابقه از سال ۲۰۱۵ تکرار نشده است، به‌خصوص که تغییراتی ایجاد نشده تا به دشمنان قدرت بیشتری داده شود، همانطور که Crypto Fails تجویز می‌کند. به یاد داشته باشید، MTProto 2.0 نشان داده است که دارای چندین آسیب‌پذیری است. تلگرام باید نشان دهد که ۳۰۰ هزار دلار برای ثابت کردن اینکه غیرقابل شکستن است، ارائه دهد.

در بسیاری از کشورها اتصال و دریافت پیام‌ها در تلگرام زمان زیادی می‌برد، حتی زمانی که از VPN استفاده می‌کنید. عکس‌ها و ویدیوها معمولاً بارگذاری نمی‌شوند و کاربر را مجبور می‌کند که اپلیکیشن را ببندد و دوباره باز کند. تجربه تماس نیز نیاز به بهبود زیادی دارد. برقراری تماس‌ها زمان زیادی می‌برد و کیفیت تماس حتی در شبکه‌های با سرعت بالا و بدون ازدحام ناپایدار است. درباره کیفیت ویدئو اصلا نمی‌توان صحبتی کرد چراکه کیفیت مناسبی ندارد.

از سوی دیگر، استفاده از واتس‌اپ و سیگنال تقریباً بدون دردسر است. پیام‌ها تقریباً به سرعت ارسال می‌شوند. کیفیت تماس عالی است. پیام‌های چندرسانه‌ای سریع ارسال و دانلود می‌شوند و تجربه کلی نسبتاً سریع است. هر دو این اپلیکیشن‌ها از رمزگذاری E2EE بهره می‌برند. در جولای ۲۰۲۴، تلگرام به به‌روزرسانی‌ جدیدی دست زد که به طور غیرعمدی اسکرین‌شات‌های کاربران را به جای خودشان در کانال‌های عمومی نشان می‌داد. حین به‌روزرسانی، گروه تلگرام یادآوری کرده بود که نیاز به رعایت قوانین مربوط به کپی‌رایت و محافظت از داده‌های شخصی دارد.

در واقع، کسانی که از عکس‌های خود استفاده کرده و سپس آن‌ها را در کانال‌های عمومی ارسال کرده بودند، در معرض خطر فاش شدن به‌طور عمومی و بازنشر قرار گرفتند، در حالی‌که این قابلیت به‌وضوح طراحی نشده بود تا به سادگی فاش کردن این اطلاعات کمک کند. تلگرام سرانجام این آسیب‌پذیری را برطرف کرد، اما این نوع مشکلات یک نشانه دیگر از نقص‌های امنیتی و نقص‌های کیفیت است که می‌تواند خطرات جدی برای حریم خصوصی به‌همراه داشته باشد.

بنابراین، بد نیست تلگرام را ترک کنیم. ویژگی‌های آن شگفت‌انگیز است، اما امنیت و حریم خصوصی نباید به خاطر آن نادیده گرفته شود. همانطور که Wired ذکر می‌کند، تلگرام به دلیل نگرانی‌های امنیتی و حریم خصوصی نمی‌تواند مورد اعتماد باشد. به یاد داشته باشید، داده‌های شما و حریم خصوصی‌تان ارزش بیشتری از اپلیکیشنی با ویژگی‌های شگفت‌انگیز دارد.