محققان دانشگاههای مختلف نقاط ضعفی در پروتکل رمزنگاری تلگرام، شناسایی کردهاند که نگرانیهایی درباره امکان دستکاری پیامها در این پیامرسان ایجاد میکند.
به گزارش تکناک برخی از مشخصات پروتکل امنیتی تلگرام، مانند MTProto، بهطور کامل استانداردهای مورد نظر جامعهی رمزنگاری را برآورده نمیکند. علاوه بر این، نقصهایی در مدیریت اطلاعات شخصی کاربران و احتمال دسترسی نامناسب به این اطلاعات توسط اشخاص ثالث وجود دارد.
بر اساس این تحلیلها، تلگرام در مقایسه با سایر برنامههای پیامرسان که رمزنگاری پایان به پایان (E2E) را به طور پیشفرض ارائه میدهند، ممکن است کمتر امن باشد. همچنین تحقیقات نشان دادهاند که تلگرام در چندین حملهی امنیتی آسیبپذیر بوده است، از جمله حملاتی که منجر به دسترسی به اطلاعات کاربران شده است.
طی آخر هفته، بخشی از مصاحبه اخیر با پاول دوروف، بنیانگذار تلگرام، در پلتفرم X منتشر شد. در این ویدیو، دوروف به تاکر کارلسون، شخصیت برجسته راستگرا، میگوید که او تنها مدیر محصول در شرکت است و تنها «حدود 30 مهندس» را استخدام کرده است.
کارشناسان امنیتی می گویند در حالی که دوروف در حال لافزنی درباره «بسیار کارآمد» بودن شرکت مستقر در دبی بود، حرفهای او درواقع زنگ خطری برای کاربران به شمار میرفت.
متیو گرین، کارشناس رمزنگاری در دانشگاه جانز هاپکینز، در مصاحبهای با TechCrunch ابراز داشت: «بدون برقراری رمزنگاری سرتاسری، وجود تعداد زیادی از اهداف آسیبپذیر و سرورها در امارات متحده عربی، وضعیتی شبیه به کابوس برای امنیت سایبری به نظر میرسد.»
در مقابل، رمی وون، سخنگوی تلگرام، این ادعا را رد کرد و اظهار داشت که تلگرام هیچ مرکز دادهای در امارات متحده عربی ندارد.
گرین به این نکته اشاره کرده است که، برخلاف سیگنال یا واتساپ، چتهای تلگرام بهطور پیشفرض از رمزنگاری سرتاسری برخوردار نیستند. برای برخورداری از این ویژگی امنیتی، کاربران تلگرام میبایست «Secret Chat» را فعال کنند، تا پیامهایشان تنها برای فرستنده و گیرنده قابل خواندن باشد و برای تلگرام یا هر شخص دیگری غیرقابل دسترسی باقی بماند.
علاوه بر این، برخی افراد طی سالهای اخیر نسبت به کیفیت رمزنگاری تلگرام، که از الگوریتم اختصاصی ساخته شده توسط برادر دوروف استفاده میکند، ابراز تردید کردهاند. این نکته در مصاحبه دقیقتر گرین با کارلسون نیز مطرح شده است.
ایوا گالپرین، مدیر امنیت سایبری در بنیاد Electronic Frontier Foundationو متخصص باسابقه در زمینه امنیت گفت که مهم است به خاطر بسپاریم که تلگرام، برخلاف سیگنال، بسیار فراتر از یک برنامه پیامرسان است.
گالپرین در گفتگو با TechCrunch تأکید کرد: «تفاوت تلگرام (که آن را بدتر میکند!) در این است که تلگرام صرفاً یک اپلیکیشن پیامرسان نیست، بلکه یک پلتفرم رسانهای اجتماعی است. به عنوان یک پلتفرم رسانه اجتماعی، تلگرام دسترسی گستردهای به دادههای کاربر دارد، به ویژه محتوای ارتباطاتی که بدون رمزنگاری سرتاسر انجام میشوند.» وی افزود: «30 مهندس» به این معناست که هیچ تیمی برای مقابله با درخواستهای قانونی وجود ندارد و هیچ زیرساختی برای مقابله با سوءاستفاده و مسائل تعدیل محتوا نیست.»
گالپرین در ادامه اظهار داشت: «من حتی میتوانم استدلال کنم که کیفیت کار این 30 مهندس چندان برجسته نیست. علاوه بر این، اگر من یک مهاجم سایبری بودم، این شرایط را خبری دلگرمکننده تلقی میکردم. هر مهاجمی از داشتن یک رقیب با تعداد کم کارکنان و فشار کاری بالا خوشحال خواهد شد.»
به عبارت دیگر احتمال اینکه تلگرام با تعداد کارکنان اندک، به خصوص در برابر هکرهای دولتی، در مبارزه با هکرها بسیار موثر باشد، بعید است.
سخنگوی تلگرام تأیید کرد که این شرکت 30 توسعهدهنده برای برنامهها و زیرساختها دارد، اما ادعا میکند که 30 نفر دیگر در “تیم اصلی” خود دارد. سخنگوی مذکور به سوالات خاص ، از جمله اینکه آیا این شرکت مدیر امنیتی دارد یا چند نفر از مهندسان آن به طور تمام وقت روی امنیت پلتفرم کار میکنند، پاسخ نداد.
هفته گذشته، SwiftOnSecurity ، متخصص برجسته امنیت سایبری، در X نوشت: ” هزینههای اداره یک شرکت که تمام ابزارها و کارکنان لازم برای امنیت سایبری را دارا باشد، به طور قابل توجهی بالا است. توصیف اعدادی که من دیدهام، دشوار است. حتی صحبت کردن درباره این موضوع در یک منطقه خاکستری قرار دارد. با این حال، تعداد کارکنان و هزینههای نجومی که شاهد آن هستیم، واقعاً شگفتانگیز است.
به عبارت دیگر، حتی بزرگترین شرکتهای جهان احتمالاً به اندازه کافی پول، زمان و انرژی برای تأمین امنیت خود صرف نمیکنند. دوروف ادعا میکند که تلگرام تقریباً یک میلیارد کاربر دارد. این یکی از محبوبترین پلتفرمها برای افراد شاغل در حوزه کریپتو (که میلیونها دلار جابجا میکنند)، افراطگرایان، هکرها و ترویجدهندگان اطلاعات نادرست است.
این موضوع تلگرام را به هدف بسیار جذابی برای هکرها تبدیل میکند و این شرکت در نهایت فقط تعداد انگشت شماری از افراد را به امنیت سایبری اختصاص داده است.
اره خب ! نکنه میخواید بیاید بعد بگید آهای ایرانی ها ، بدویید بیاید بله رو نصب کنید که از بس امنیتش بالا هست پلی استور بعنوان برنامه جاسوسی اعلامش کرد ، نصبش کنید !!!!!!!!!!!!!!!!!!!!!!!!!
در ضمن ۱ هفته هست دارم میبینم هر کامنتی مینویسم اصلا تایید نمکیند .
ضایع هست این هم تایید نمیکنید 😉
زیاد مهم نیس در عوضش سروش و بله و روبیکا امینیتش فوق العادس خخخخخخخخخخخخخخخخخخخخخخخخخخخخخخ
دوستان توجه نمایید که حتی بهترین نرم افزار می تواند رقیب جدی نرم افزارهای آمریکایی باشد .
برای همین است که به شما هشدار می دهد .
این کار باعث شده است تا در اروپا جلوی انحصار نرم افزارهای آمریکایی را بگیرند .
مهندسین ایران اگر می خواهند پیشرفت کند ، باید با کشورهای مهم نرم افزاری و سخت افزاری همکاری کند و انحصار آمریکا را بشکنند .