بررسی امنیت تلگرام

چند مورد که چرا تلگرام به اندازه گفته توسعه دهندگان آن امن نیست

توسعه دهندگان تلگرام، محصول خود را ایمن و محافظت شده می‌پندارند. اما در عمل این کاملاً نادرست است. واقعیت این است که تلگرام چندین ویژگی دارد که محافظت از پیام‌های شما را کمی مشکل می‌سازد و ربطی به پیچیدگی‌های رمزنگاری ندارد، بلکه به چیزهای بسیار ساده‌تر مربوط می‌شود. بیایید نگاهی به برخی ویژگی‌های مشکوک در رابط کاربری و منطق کلی پیام‌رسان بیندازیم که امنیت آن را کمتر از آنچه معمولاً تصور می‌شود، می‌کند.

سایه ای از پیام های امن

برای شروع، باید بفهمیم که یک پیام رسان ایمن چگونه کار می کند. اولین چیزی که باید فهمید شد این است که تقریباً تمام پیام رسان های مدرن مدت ها پیش به تبادل اطلاعات رمزگذاری شده بین دستگاه های کاربر و سرورها روی آورده اند. این حداقل چیزی است که هر پیام رسان باید ارائه دهد. با این حال، این برای در نظر گرفتن یک سیستم ایمن کافی نیست، زیرا امنیت کامل پیام را تضمین نمی کند.

با توجه به این مورد: اگر به جز شرکت کنندگان پیام‌رسان، سرویس‌ها نیز به پیام رسان دسترسی داشته باشند، خطرات بیشتری ایجاد می‌کند. برای مثال، ممکن است خود صاحبان سرویس بیش از حد کنجکاو یا حریص باشند. یا، حتی اگر فرض کنیم که آنها تا حد اصلی صادق هستند و تمایلی به چسباندن بینی خود به داده های کاربران ندارند، چه تضمینی وجود دارد که اگر یک روز سرویس فروخته شود، صاحبان بعدی به همان اندازه صادق باشند؟ و مطمئناً این سرویس ممکن است هک شود، در این صورت هکرها به مکاتبات دسترسی پیدا می کنند.

با این حال، یک راه بسیار موثر برای جلوگیری از همه این خطرات و پاسخ به این سوال وجود دارد که آیا می توان یک بار برای همیشه به این سرویس اعتماد کرد: end-to-end encryption. این تضمین می کند که اطلاعات در دستگاه فرستنده رمزگذاری شده و فقط در دستگاه گیرنده رمزگشایی می شود. به این ترتیب، این سرویس فقط پیام های رمزگذاری شده را به عقب و جلو می فرستد و به محتوا دسترسی ندارد. این به طور خودکار از مکاتبات در برابر صاحبان فضول (فعال یا آینده) و سایر مشکلاتی که ممکن است رخ دهد محافظت می کند.

بنابراین، ما به یک فرمول بسیار ساده می رسیم: یک پیام رسان امن پیام رسانی است که از رمزگذاری سرتاسر استفاده می کند. حال بیایید ببینیم که تلگرام چگونه این را مدیریت می کند.

1. همه چت‌های تلگرام به یک اندازه امن نیستند

بیایید مستقیماً به ریشه مشکل برویم. تلگرام یک پیام رسان منحصر به فرد با دو نوع چت است. معمولی و مخفی. چت های معمولی رمزگذاری سرتاسری نیستند. فقط مخفی ها هستند. هیچ پیام رسان دیگری این کار را انجام نمی دهد: حتی واتس اپ بدنام، بخشی از امپراتوری تشنه داده مارک زاکربرگ، به طور پیش فرض از رمزگذاری انتها به انتها استفاده می کند.

کاربر اصلاً نیازی به انجام کاری ندارد، هیچ چک باکس خاصی یا هیچ چیز دیگری وجود ندارد: پیام‌ها از همه افراد خارجی (از جمله صاحبان سرویس) در خارج از جعبه محافظت می‌شوند.

در مورد پیام رسان هایی که صراحتاً خود را ایمن و محافظت می کنند، هیچ کس در سیگنال یا Threema هرگز به داشتن دو نوع مکاتبات فکر نمی کند: یکی رمزگذاری شده سرتاسر، دیگری نه. اگر بتوانید همه چت‌ها را به یک اندازه ایمن کنید بدون اینکه کاربر را از هم جدا کنید، چرا زحمت بکشید؟ اما تلگرام در نوع خود بی نظیر است.

2. درباره پیش فرض‌ها

به‌طور پیش‌فرض، چت‌های تلگرام از رمزگذاری سرتاسر استفاده نمی‌کنند و پیام‌رسان نیز گزینه چت امن را به کاربران اطلاع نمی‌دهد. چه کسی می توانست فکر کند کاربری که به تازگی یک پیام رسان را دقیقاً به این دلیل نصب کرده است که امن است، می خواهد مکاتبات را خصوصی نگه دارد؟ پاسخ ها روی کارت پستال لطفا نتیجه این است که وقتی کاربر یک چت جدید ایجاد می کند، تلگرام نه پیشنهاد ایمن سازی آن را می دهد و نه حتی به وجود گزینه ای غیر از چت پیش فرض اشاره می کند.

حاضرم شرط ببندم هزاران، اگر نگوییم میلیون‌ها نفر، افرادی هستند که اسرار مهمی را به چت‌های تلگرام می‌سپارند، با اطمینان کامل که به طور پیش‌فرض از امنیت محافظت می‌شوند، اما از چت‌های معمولی بدون رمزگذاری انتها به انتها استفاده می‌کنند. 

نکته جالب این است که دکمه چت مخفی تا حد امکان پنهان است. در خود رابط چت نیست. در سطح بعدی نیز در دسترس نیست. حتی اگر روی نام شریک چت خود ضربه بزنید و به نمایه او بروید، دکمه مورد نظر را در آنجا پیدا نخواهید کرد. باید کمی عمیق‌تر بگردید. روی منوی سه نقطه ضربه بزنید، ویژگی‌های ثانویه را زیر و رو کنید، و اینجاست که گزینه گفتگوی مخفی با رمزگذاری سرتاسر را می‌بینید.

3. اصلا چرا این همه پنهان کاری؟

شکایت دیگری در رابطه با نام تلگرام برای چت های رمزگذاری شده سرتاسر خود مطرح می شود. توسعه دهندگان می توانستند آن را چیزی خنثی مانند "امن"، "محافظت شده" یا "خصوصی" نامگذاری می‌کردند، اما این کار را نکردند و به دنبال "راز" رفتند که این کلمه أثیر بسیار جالبی بر درک مردم دارد.

و من می خواهم تأکید کنم که این اتفاق بدون هیچ دلیل عینی رخ می دهد. وقتی چت را در واتس اپ یا سیگنال شروع می کنید، هیچ کس نمی پرسد یا اهمیت نمی دهد که چرا از رمزگذاری سرتاسر استفاده می کنید. این به این دلیل است که همه چت های واتس اپ و سیگنال بدون درخواست از آن استفاده می کنند! با این حال، در تلگرام، میل طبیعی برای محافظت از یک چت به بخشی از خود چت تبدیل می شود و باعث می شود شرکت کنندگان حداقل احساس ناراحتی کنند، اگر کاملا ناآگاه نباشند.

4. از دست دادن زنگ و سوت

با این واقعیت که چت های مخفی برخی از ویژگی های موجود در چت های معمولی و رمزگذاری نشده را ندارند، وضعیت پیچیده تر می شود. اگرچه این لیست طولانی نیست. بدون واکنش ایموجی یا پیام های پین شده. نبود آنها ممکن است برخی از افراد را از استفاده از چت های ایمن منصرف کند. و این قابل درک است: فقدان حریم خصوصی کاملاً انتزاعی به نظر می رسد، در حالی که ناراحتی ناشی از ناتوانی در اظهار نظر ملموس تر است. باز هم، هیچ دلیل عینی برای این وجود ندارد. در واتس‌اپ، واکنش‌های ایموجی کاملاً کار می‌کنند – رمزگذاری سرتاسر کوچک‌ترین تداخلی ایجاد نمی‌کند. فقط می‌توانم حدس بزنم که چت‌های مخفی مدت‌هاست که به چنان دغدغه‌ای برای توسعه‌دهندگان تلگرام تبدیل شده است که پیاده‌سازی ویژگی‌های جدید در آن‌ها نه به چمن‌های بلند، بلکه از صخره‌ها لگد می‌زند.

5. شرکت دو نفر، سه نفر جمعیت

فرض کنید می‌توانید دوستان خود را متقاعد کنید که هیچ چیز عجیبی در حالت چت مخفی وجود ندارد و به خاطر حفظ حریم خصوصی ارزش از دست دادن چند ویژگی را دارد. این به خودی خود دستاورد کوچکی نیست و همه نمی توانند آن را به دست آورند. اما هنوز خیالتان راحت نباشد: دیر یا زود لحظه ای فرا می رسد که باید در مورد چیزی به عنوان گروه صحبت کنید. و طبیعتاً می خواهید این کار را در یک چت امن انجام دهید. در اینجا تلگرام یک سورپرایز دیگر برای شما دارد: امکان پذیر نیست. چت های گروهی تلگرام را نمی توان رمزگذاری سرتاسری کرد. دوره زمانی. چنین گزینه ای وجود ندارد.

6. بهترین نیست

یک چیز درتلگرام وجود دارد که فعالیت کاربرانش را سخت‌تر می‌کند: توانایی ایجاد چت مخفی با همان شخصی که دوست دارید. واضح است که چرا چنین است. چت‌های رمزنگاری شده به یک کلید رمزگذاری که در دستگاه ذخیره می‌شود گره خورده است و نمی‌توان آن را به جایی منتلق کرد. از این رو برای هر دستگاه جدید باید یک چت مخفی جدید ایجاد کرد، اگرچه WhatsApp به نوعی توانست این مشکل را بدون چند برابر کردن چت‌ها حل کند. 

اعتراف می کنم که در برخی شرایط عجیب و غریب، ممکن است چندین چت جداگانه با یک شخص مفید باشد. اما در بیشتر موارد بسیار ناخوشایند است و سردرگمی غیر ضروری را اضافه می کند. به ویژه چالش برانگیز است که سعی کنید به خاطر بیاورید که در کدام دستگاه و در کدام چت شخصی شماره تلفن یا اطلاعات دیگری (پیوند، ایمیل، شماره حساب، آدرس) را که در حال حاضر مورد نیاز است برای شما ارسال کرده است. برای برخی، این سردرگمی استدلال قانع کننده ای علیه استفاده از حالت چت مخفی است.

7. یک برداشت دیگر

اگر یک گوشی جدید خریداری کرده‌ای و خواستید تمام داده‌های خود از جمله گفتگو‌های رمزگذاری شده تلگرام را به آن منتقل کنید، چه کاری باید انجام دهید؟ کاری برای انجام دادن وجود ندارد! تلگرام به شما اجازه نمی‌دهد چت‌های مخفی را به یک دستگاه جدید منتقل کنید، راه حل‌های برای اندروید وجود دارد، اما استفاده از آن‌ها نه ساده است و نه بی خطر. و برای کاربران آیفون چنین روش های مشکوکی اصلا وجود ندارد. بنابراین اگر به یک تلفن جدید بروید، تمام پیام‌های تلگرام در چت‌های مخفی برای همیشه از بین خواهند رفت.

چند نکته دیگر: ابتدا باید همه چت‌های مخفی خود را دوباره راه اندازی کنید و به یاد داشته باشید که با چه کسی در دستگاه قدیمی خود چت کرده‌اید. دوم، باید به همه مخاطبین خود توضیح دهید که یک گوشی حدید دارید و آن‌ها باید در یک چت جدید بنویسند، زیرا دیگر به چت‌های قدیمی دسترسی ندارید. فکر نکنید که تلگرام این کار را برای مشا انجام می‌دهد، دوستان شما همچنان چت‌های قدیمی را در دستگاه‌های خود خواهند داشت. آن‌ها حتی می‌توانند چیزی را در آن‌ها ارسال کنند، اما هرگز آن را نخواهید دید.

8. بدون راز

به طور خلاصه، اگرچه از نظر تئوری امکان برقراری ارتباط امن در تلگرام از طریق چت های مخفی وجود دارد، اما در عمل همه چیز چندان ساده نیست. از آنجایی که اکثر مردم همیشه مسیر کمترین مقاومت را ترجیح می دهند، در نهایت از چت های معمولی بدون رمزگذاری انتها به انتها استفاده می کنند. بسیاری احتمالاً حتی متوجه نمی شوند که از یک کانال محافظت نشده استفاده می کنند.