بررسی امنیتی پیام‌رسان تلگرام

به گفته Alex Rad که سابقه فعالیت در زمینه مهندسی معکوس و آزمایش امنیت نرم‌افزارها را داشته است، تلگرام چندین نقطه ضعف آسیب پذیر دارد.

تلگرام بصورت پیش‌فرض از کدگذاری در دو طرف کاربر و سرور (end to end) استفاده نمی‌کند. این تکنیک باعث می‌شود که مطمئن باشیم پیغامی که در مبدا کدگذاری شده است تنها در مقصد قابل بازگشایی است.

تکنـــــــــــــــازدانلود:  تلگرام یک نرم افزار پیام‌رسان رایگان در محیط های موبایل و دسکتاپ است که در سال ۲۰۱۳ با شعار «باز پس گرفتن حق حریم شخصی» آغاز بکار کرد.

نرم‌افزاری‌های پیام‌رسان، جزو آن دسته از نرم‌افزارهایی هستند که که کارشناسان نحوه ارتباطات آنها و روش محافطت اطلاعات‌شان را به‌شدت تحت نظر دارند. اولین دغدغه در این زمینه کد-گذاری اطلاعات است اما همین قدر که سازنده آن اعلام کند اینکار را انجام می دهد دلیلی بر امنیت آن نیست. آخرین نرم افزار در این زمینه پیام رسان تلگرام است که توسط پاول دورف پشتیبانی می‌شود. دورف بنیان‌گذار شبکه احتماعی معروف روسی Vkontakte نیز هست.

به گفته Alex Rad که سابقه فعالیت در زمینه مهندسی معکوس و آزمایش امنیت نرم‌افزارها را داشته است، تلگرام چندین نقطه ضعف آسیب پذیر دارد. او و یک محقق دیگر به نام Juliano Rizzo که دو آسیب پذیری در SSL را کشف کرده، تلگرام را به منظور افزایش امنیت آن آنالیز کرده‌اند. طی مطلبی که آنها یکشنبه هفته گذشته در وبلاگشان منتشر و آن را در اختیار عموم قرار دادند به مشکلاتی در تلگرام اشاره کردند که می‌تواند باعث نگرانی در زمینه امنیت اطلاعات تبادل شده در تلگرام شود.

الکس راد: چیزی که باعث نگرانی من در مورد تلگرام شده است نحوه معرفی آنها در بازار در برابر نحوه استفاده مردم از تلگرام است.

برای مثال تلگرام بصورت پیشفرض از کدگذاری در دو طرف کاربر و سرور (end to end) استفاده نمی‌کند. این تکنیک باعث می‌شود که مطمئن باشیم پیغامی که در مبدا کدگذاری شده است تنها در مقصد قابل بازگشایی است. این روش یکی از امن ترین روش‌های ارسال اطلاعات است. کاربران تلگرام برای استفاده از این سرویس باید از امکان «گپ محرمانه» [Secret chat] استفاده کنند اما این سروی سهم مشکلاتی دارد که باعث می شود نسبت به حملات MITM آسیب پذیر باشد.

پیش از آغاز گپ محرمانه، هر دو کاربر تلگرام یک تصویر را می‌بینند که بررسی می‌کند که ارتباط بین این دو کاربر دستکاری نشده باشد. این کارشناس در مطلبی که منتشر کرده است نشان می‌دهد که چگونه یک هکر می‌تواند تصویر مذکور را با تصویر مورد نظر خود جایگزین کند تا به کاربر اطمینان دهید که ارتباطش امن است در حالی که واقعاً اینطور نیست. وی همچنین می‌گوید یک مشکل هم در فرآیند اعتبارسنجی تلگرام وجود دارد. وقتی که کاربر دستگاه جدید را ثبت می‌کند یک کد عبور یکبار مصرف از طریق SMS برای او ارسال می‌شود. روش‌های زیادی برای دست یابی به اطلاعاتی که از طریق SMS ارسال می‌شوند وجود دارد و همین موضوع باعث می شود که وی معتقد باشد استفاده از SMS برای اعتبارسنجی مناسب نیست.

در پاسخ به این ادعاها، تلگرام نیز این موضوع را رد کرده و اعلام کرده است انجام چنین حملاتی نیاز به دسترسی به سرورهای تلگرام و صرف هزینه بالا دارد.