به گفته Alex Rad که سابقه فعالیت در زمینه مهندسی معکوس و آزمایش امنیت نرمافزارها را داشته است، تلگرام چندین نقطه ضعف آسیب پذیر دارد.
تلگرام بصورت پیشفرض از کدگذاری در دو طرف کاربر و سرور (end to end) استفاده نمیکند. این تکنیک باعث میشود که مطمئن باشیم پیغامی که در مبدا کدگذاری شده است تنها در مقصد قابل بازگشایی است.
تکنـــــــــــــــازدانلود: تلگرام یک نرم افزار پیامرسان رایگان در محیط های موبایل و دسکتاپ است که در سال ۲۰۱۳ با شعار «باز پس گرفتن حق حریم شخصی» آغاز بکار کرد.
نرمافزاریهای پیامرسان، جزو آن دسته از نرمافزارهایی هستند که که کارشناسان نحوه ارتباطات آنها و روش محافطت اطلاعاتشان را بهشدت تحت نظر دارند. اولین دغدغه در این زمینه کد-گذاری اطلاعات است اما همین قدر که سازنده آن اعلام کند اینکار را انجام می دهد دلیلی بر امنیت آن نیست. آخرین نرم افزار در این زمینه پیام رسان تلگرام است که توسط پاول دورف پشتیبانی میشود. دورف بنیانگذار شبکه احتماعی معروف روسی Vkontakte نیز هست.
به گفته Alex Rad که سابقه فعالیت در زمینه مهندسی معکوس و آزمایش امنیت نرمافزارها را داشته است، تلگرام چندین نقطه ضعف آسیب پذیر دارد. او و یک محقق دیگر به نام Juliano Rizzo که دو آسیب پذیری در SSL را کشف کرده، تلگرام را به منظور افزایش امنیت آن آنالیز کردهاند. طی مطلبی که آنها یکشنبه هفته گذشته در وبلاگشان منتشر و آن را در اختیار عموم قرار دادند به مشکلاتی در تلگرام اشاره کردند که میتواند باعث نگرانی در زمینه امنیت اطلاعات تبادل شده در تلگرام شود.
الکس راد: چیزی که باعث نگرانی من در مورد تلگرام شده است نحوه معرفی آنها در بازار در برابر نحوه استفاده مردم از تلگرام است.برای مثال تلگرام بصورت پیشفرض از کدگذاری در دو طرف کاربر و سرور (end to end) استفاده نمیکند. این تکنیک باعث میشود که مطمئن باشیم پیغامی که در مبدا کدگذاری شده است تنها در مقصد قابل بازگشایی است. این روش یکی از امن ترین روشهای ارسال اطلاعات است. کاربران تلگرام برای استفاده از این سرویس باید از امکان «گپ محرمانه» [Secret chat] استفاده کنند اما این سروی سهم مشکلاتی دارد که باعث می شود نسبت به حملات MITM آسیب پذیر باشد.
پیش از آغاز گپ محرمانه، هر دو کاربر تلگرام یک تصویر را میبینند که بررسی میکند که ارتباط بین این دو کاربر دستکاری نشده باشد. این کارشناس در مطلبی که منتشر کرده است نشان میدهد که چگونه یک هکر میتواند تصویر مذکور را با تصویر مورد نظر خود جایگزین کند تا به کاربر اطمینان دهید که ارتباطش امن است در حالی که واقعاً اینطور نیست. وی همچنین میگوید یک مشکل هم در فرآیند اعتبارسنجی تلگرام وجود دارد. وقتی که کاربر دستگاه جدید را ثبت میکند یک کد عبور یکبار مصرف از طریق SMS برای او ارسال میشود. روشهای زیادی برای دست یابی به اطلاعاتی که از طریق SMS ارسال میشوند وجود دارد و همین موضوع باعث می شود که وی معتقد باشد استفاده از SMS برای اعتبارسنجی مناسب نیست.
در پاسخ به این ادعاها، تلگرام نیز این موضوع را رد کرده و اعلام کرده است انجام چنین حملاتی نیاز به دسترسی به سرورهای تلگرام و صرف هزینه بالا دارد.