امنیتِ نداشته‌ی پیام‌رسان سروش؛ همه‌چیز قابل شنود است!

در همین زمینه هشدار رضا کیانیان بازیگر درباره زاکانی شهردار تهران (عکس) ۱۸ اردیبهشت ۱۴۰۳ بازداشت شهردار مرند با اتهامات مالی ۱۸ اردیبهشت ۱۴۰۳ ابتدایی‌ترین ویژگی که یک پیغام‌رسان باید داشته باشد، رمزنگاری کلیه ترافیک ورودی و خروجی است. برای نمونه تلگرام دارای چنین قابلیتی است و عملاً شنود چت‌های خصوصی را ناممکن کرده است. متأسفانه […]

بوسیله تیم تحریریه در 17 فروردین 1397

در همین زمینه

ممنوعیت ورود جراحان زن به کنگره به بهانه حجاب

۱۸ اردیبهشت ۱۴۰۳

۵ سال زندان در انتظار این مشمولان سربازی

۱۸ اردیبهشت ۱۴۰۳

ابتدایی‌ترین ویژگی که یک پیغام‌رسان باید داشته باشد، رمزنگاری کلیه ترافیک ورودی و خروجی است. برای نمونه تلگرام دارای چنین قابلیتی است و عملاً شنود چت‌های خصوصی را ناممکن کرده است. متأسفانه به تازگی مشخص شده است پیغام رسان بومی «سروش» (Soroush) فاقد هرگونه رمزنگاری است.

بررسی‌ها نشان داده است تبادل کلیه پیام‌ها و پست‌های پیام‌رسان سروش بدون هر گونه رمزنگاری و به صورت Plain Text (متن معمولی) صورت می‌گیرد که عملاً شنود و حتی دست‌کاری پیام‌ها را امکان‌پذیر می‌کند. تصور کنید به یک مودم یا روتر وصل می‌شوید که حمله‌کننده، پشت آن قرار دارد؛ این امکان وجود دارد که نه تنها چت‌های خصوصی رد و بدل شده شنود شود، بلکه دست‌کاری آنها نیز ممکن است. کافی است حمله کننده به نحوی میان شما و ارتباط اینترنتی قرار بگیرد. مطمئناً سناریوهای بیشتری قابل تصور است.

در این دست از حملات که به عنوان «مرد میانی» شناخته می‌شوند، غالباً به رمزگشایی ترافیک و استخراج کلید رمزنگاری نیاز است؛ اما از آن‌جایی که پیام‌رسان سروش از هیچ‌گونه الگوریتم رمزنگاری و اعتبارسنجی استفاده نمی‌کند، آماتورترین کاربران هم قادر هستند با یک جست‌وجو و مطالعه‌ی کوتاه، آن را شنود و حتی دست‌کاری کنند.

حملات موسوم به مرد میانی

حتی اگر حمله کننده‌ای هم در کار نباشد، سایر برنامه‌های نصب شده بر روی دستگاه کاربر قادر به استراق سمع کلیه فعالیت‌های سروش هستند. برای درک بهتر این موضوع، تلگرام کلیه پیام‌ها را رمزنگاری می کند و اگر ترافیک آن شنود هم شود، هیچ چیز قابل خواندن نیست.

جای خالی رمزنگاری

تردیدی وجود ندارد سروش به عنوان یک پیام رسان به قابلیت رمزنگاری (آن هم یک الگوریتم قدرتمند) در کنار اعتبارسنجی نیاز دارد تا امکان شنود و دست‌کاری پیام‌ها و همچنین فایل های رد و بدل شده وجود نداشته باشد، چیزی که عملاً چنین نیست. این ضعف صرفاً به چت‌های خصوصی محدود نمی‌شود و امکان مشاهده پست‌های گروه‌ها و کانال‌هایی که کاربر عضو آنهاست نیز وجود دارد. حتی دستوراتی چون تغییر نام کاربری نیز به صورت کاملاً معمولی صورت می‌گیرد که نشان از بی توجهی کامل به امنیت است.

مقایسه پیام‌رسان سروش و تلگرام

کلمه عبور محلی

یکی دیگر از ضعف‌های سروش در محافظت از حریم خصوصی کاربر، کلمه عبور محلی است. در واقع کلمه عبور تعیین شده از سوی کاربر برای محافظت از برنامه و جلوگیری از دسترسی غیرمجاز، در سمت گوشی نگه‌داری می شود و بر خلاف تلگرام، با حذف و نصب مجدد آن، هیچ کلمه عبوری برای فعال‌سازی درخواست نمی شود.

با این تفاسیر باید گفت چنانچه پیام‌رسان‌های ایرانی قصد دارند به طور جدی در عرصه‌های داخلی و خارجی فعالیت کنند و کاربران زیادی را به خود جذب کنند، باید فاکتورهای امنیت و حریم خصوصی کاربران را بیش از هر چیز دیگری مورد توجه قرار دهند.

منبع: ای دانش