آفتابنیوز : روزنامه شهروند در اینباره نوشت: نرمافزارهای «پیامرسان» گونهای از چت آنلاین هستند که خدمت انتقال سریع پیام را در اینترنت برای کاربر فراهم میکنند. در سالهای اخیر برنامههای پیامرسان رایگان یا ارزان جایگزین پیامکهای مخابراتی شدهاند. بسیاری از این برنامهها گزینههایی مانند چتهای گروهی، تبادل محتوای گرافیکی، عکس، ویدیو و صوت را فراهم میکنند. رایگان بودن و سرعت بالای ارسال پیام سبب شده ایرانیها نیز مانند بقیه مردم جهان به استقبال این نرمافزارها بروند.
در این کشور پیامرسانهای متعددی فعال هستند که هرکدام سعی دارند به کاربران بیشتری دست یابند. تا همین اواخر یکی از محبوبترین نرمافزارها «وایبر» بود. این برنامه با ارسال سریع پیام و عکس، امکان ایجاد گفتوگوی گروهی و استیکرهایی جذاب، طرفداران زیادی داشت و حتی به بستری برای تجارت و تبلیغات نیز تبدیل شده بود.
اما طی چند هفته اخیر موج مهاجرت کاربران ایرانی به پیامرسان رایگان دیگری افزایش یافته است. این جمعیت که تعدادشان به پنج میلیون نفر میرسد، مدتی است که از کند شدن و اختلال در فرآیند خدمترسانی این برنامه شکایت دارند. هرچند به غیر از «وایبر» نرمافزارهای متعددی مانند «واتسآپ»، «لاین»، «کیک»، «گوگل چت»، «هایک» و غیره در ایران کاربرد دارند، اما نرمافزاری تازهوارد، در این رقابت پیروز شده و توانسته است تعداد زیادی از کاربران ایرانی وایبر را به چنگ بیاورد. این نرمافزار که دو یا سه سالی از عمر آن میگذرد «تلگرام» نام دارد. این برنامه پیامرسان توسط دو برنامهنویس روس و در آلمان تهیه شده است.
کسادی بازار واتسآپ عامل رونق تلگرام
البته به نظر میرسد این نخستینباری نیست که تلگرام بازار یک نرمافزار دیگر را کساد میکند. هنگامی که در فوریه 2014 نرمافزار «واتسآپ» برای چهار ساعت متوقف شد، حدود پنج میلیون نفر در نرمافزار تلگرام ثبتنام کردند. این برنامه به سرعت در جدول ردهبندی فروشگاههای برنامه موبایل رشد کرد و به برترین برنامه رایگان در 46 کشور از آلمان تا اکوادور تبدیل شد. در آمریکا و چند کشور دیگر نیز تلگرام به رتبه نخست شبکههای اجتماعی دست یافت و بالاتر از فیسبوک، واتسآپ، کیک و ... قرار گرفت.
هنوز دقیقاً مشخص نیست چرا تلگرام بهعنوان جایگزین واتسآپ، برنامهای با 450 میلیون کاربر در سراسر جهان، انتخاب شده است. کاربران میتوانستند «کیک»، «مسنجر»، «فیسبوک» یا نرمافزار «لاین» را انتخاب کنند که هرکدام از آنها صدها میلیون کاربر دارند. واضح است که نکته متمایزی درباره تلگرام وجود دارد. دلیل محبوبیت این برنامه تنها خریده شدن واتسآپ و کاهش سرعت آن نبود. «مارکوسرا» یکی از مدیران تلگرام میگوید: پیش از آنکه فیسبوک شرکت واتسآپ را بخرد، ما برنامه شماره یک در زبانهای اسپانیایی، عربی و چند فروشگاه برنامه در آمریکای لاتین بودیم. ما رشد کرده بودیم. بنابراین ادغام واتسآپ و مشکلات دیگر تاثیرگذاری تلگرام را در کشورهای خاصی بیشتر کرد. این در حالی است که به نوشته وبسایت App Annie که در زمینه تحلیل برنامهها فعالیت میکند، تلگرام در نیمه فوریه 2014 درحال اوجگیری بود.
اما واقعا تلگرام از کجا آمده است؟ برخلاف شایعات متعدد درباره هندی بودن منشاء این برنامه، دو برادر روس به نام «های پل» و «نیکلای دوروف» این برنامه را طراحی کردهاند. آنها بزرگترین شبکه اجتماعی این کشور یعنی VKontakte را نیز راهاندازی کردهاند که نمونه روسیهای فیسبوک به حساب میآید. تلگرام در حقیقت یک خدمت پیامرسان است که سرعت واتسآپ و سبکی نرمافزار Snapchat را با اقدامات امنیتی تازه در هم آمیخته است. واتسآپ سرآغازی برای محبوبیت تلگرام شد و به نظر میرسد این برنامه همچنان شاهد افزایش تعداد کاربر است و بدونشک این روند ادامه خواهد یافت.
پروتکل امنیتی عامل محبوبیت
به نظر میرسد تلگرام از بسیاری جهات یک نسخه کامل از واتسآپ باشد، از علایم کنترل سبز که هنگام دریافت پیام ظاهر میشود تا شکل و شمایل استیکرهای آن. همچنین قابلیت مشاهده وضع آنلاین یک دوست و ارسال عکس، ویدیو، مکان، تماس و اسناد را دارد. هرچند این نرمافزار چندان ویژه و ناب نیست اما ویژگیهای امنیتی و سرعتی آن بسیار مناسب است. شرکت سازنده ادعا میکند این برنامه سریعترین و ایمنترین سیستم پیامرسان در بازار جهانی است که البته بخشی از آن مربوط به پروتکل منبع باز MTProto است. در حقیقت تلگرام چنان به امنیت MTProto اطمینان داشت که وعده داده بود به فردی که بتواند آن را هک کند، 200 هزار دلار جایزه میدهد. البته این پدیده چندان غریبی نیست اما جوایز با این حجم معمولا برای یافتن باگهایی اصلی به کار میرود که بهطور گسترده در برنامههایی مانند ویندوز یافت میشوند.
نیکلای دوروف که یکی از خلقکنندگان این پروتکل است، به نشریه اینترنتی TechCrunch میگوید: نخستین دلیل برای حمایت از این برنامه و ساختش آن بود که ابزاری مخابراتی تهیه شود که سازمانهای اطلاعاتی روسیه نتوانند به آن راه یابند. این برنامه ویژگیهایی دارد که به کاربر اجازه میدهد تا محاورهای مخفی با یکی از دوستانش شروع کند. به گفته این شرکت محاورات مخفی بهطور کامل رمزگذاری میشوند و هیچ ردی از آنها در سرور تلگرام باقی نمیماند. در این قسمت یک تایمر خود ویرانگر در پیامها تعبیه میشودکه طیف آن از دو ثانیه تا یک هفته است. همچنین میتوان با استفاده از یک تصویر که نشاندهنده کلید رمزگذاری است و با مقایسه کلید رمزگذاری خود و دوستتان، از امنیت تلفن همراهتان اطمینان حاصل کنید. اما با وجود پیچیدگی و ایمنی که شرکت سازنده درباره این برنامه ادعا میکند، هیچ روش رمزگذاری ایدهآل نیست. این شرکت در حقیقت مجبور شده جایزهای ١٠٠هزار دلاری را به فردی ارایه کند که یک باگ اساسی در این برنامه یافته است.
پیامرسانی بدون تبلیغات
اما محبوبیت برنامه دلیل دیگری هم دارد. تلگرام جالب است نه به خاطر آنکه استانداردهای امنیتی خارقالعادهای دارد، بلکه چون به برنامهنویس اجازه میدهد حتی در دسکتاپ کامپیوتر شخصی یک تلگرام برای خود بنویسد. بیشتر خدمات پیامرسانی امروزه ازجمله واتسآپ، یک برنامه تهیه میکنند و آن را قفل میکنند. البته نمیتوان آنان را مقصر دانست، زیرا حفظ یک زبان متحد و امنیت در چند برنامه بسیار مشکل است. همچنین درآمدزایی از یک بستر نرمافزاری به استراتژی زیربنایی آن بستگی دارد. با این حال برادران دوروف با اجازه دادن به برنامهنویسان طرف سوم توانستهاند به موفقیت دست یابند. از آن مهمتر آنکه تلگرام بهعنوان یک سازمان غیرانتفاعی فعالیت میکند و قصد ندارد برای خدماتش هزینهای دریافت کند.
در بخش سوال و جواب این شرکت آمده است: «قرار نیست تلگرام درآمدزایی کند این برنامه هیچگاه برای دستیابی به سرمایه خارجی تبلیغاتی ارایه نمیکند. نمیتوان آن را فروخت. ما یک بستر کاربری نمیسازیم بلکه یک برنامه پیامرسان برای مردم تهیه میکنیم. اگر تلگرام سرمایه خود را از دست بدهد، از کاربرانش تقاضای کمک میکند. این یک برنامه کدگذاری پیام برای گروه نیست. با توجه به اینکه این برنامه از شماره تماسهای تلفن فرد استفاده میکند، یک شناساییکننده است اما گامی مهم در جهت دستیابی به بسترهای پیام رسانی با کدگذاری پیشرفته است که همه میتوانند به آن دسترسی داشته باشند.
حفرههای امنیتی در محاوره مخفی
با توجه به آنچه گفته شد، یکی از ویژگیهای تلگرام که شرکت سازنده مانور زیادی روی آن میدهد، محاوره مخفی است. این شرکت با شعار «بازپس گرفتن حق حریم خصوصی» وارد بازار شد. تلگرام ادعا میکند پیامهای افراد را بهطور کامل کدگذاری میکند اما به نوشته نشریه «پی سی ورلد» شاید تا آن اندازه که 50 میلیون کاربر تلگرام تصور میکنند، ایمن نباشد.
بر اساس نوشته «پی سی ورلد» دو برنامهنویس مستقر در سوئد به نامهای «آلکس راد» و «جولیانو ریزو» دو خطر اساسی در لایه ssl یافتهاند. راد در اینباره میگوید: آنچه بیش از همه آزارم داد، روش معرفی تلگرام در بازار بود. ایجاد یک محاوره مخفی ممکن است به حمله اینترنتی MITM منجر شود. اما تلگرام در یک پست اینترنتی انجام این حمله را بسیار گرانبها خواند. از سوی دیگر هشدار داد برای انجام این کار مهاجم باید به سرور تلگرام دسترسی داشته باشد.
از سوی دیگر روش احراز هویت این برنامه نیز مشکلساز است. تلگرام هنگام ورود کاربر جدید رمزی را به شماره تلفنهمراه او پیامک میکند. در این حالت انواع مختلفی از حملات و روشها برای کنترل ارتباطات پیامکی وجود دارد. به همین دلیل این روش برای احراز هویت کاربران مناسب نیست.
در همین زمینه نشریه «ساینس مانیتور» نیز به یک ایراد امنیتی دیگر اشاره میکند. یک محقق امنیتی در مصاحبه با این نشریه میگوید: مهاجمان اینترنتی به راحتی میتوانند پیامهای کدگذاری شده تلگرام را از دستگاهی که برای ارسال یا دریافت پیام استفاده شده، استخراج کنند، آن هم حتی زمانی که کاربران تصور میکنند محاوره بهطورکلی پاک شده است. «زوک آوراهام» مدیر ارشد فناوری امنیت موبایل در شرکت Zimperium میگوید: اطلاعات شخصی که کاربران از طریق تلگرام به اشتراک میگذارند را میتوان به وسیله یک متن ساده بازیابی کرد.
این درحالی است که شرکت تلگرام ادعای آوراهام را رد میکند و میگوید، شیوه کدگذاری همانطوری است که گفته شده، البته به استثنای مواردی که مهاجم به دستگاهی که برنامه در آن است، دسترسی داشته باشد. در چنین شرایطی هیچ فرآیند کد گذاری وجود ندارد که بتواند بهطور کامل از کاربر حمایت کند.
به دلیل کنترلهای دولتی و قوانین اجرایی در کشورهای مختلف تقاضا برای خدمات محاوره مخفی بسیار زیاد شده است. برنامههایی مانند Whisper و Secret نیز به وسیله ادعای عدم شناسایی هویت در فضای آنلاین میلیونها کاربر جذب کردهاند. اما گزارشهای جداگانه محققان طی سال 2014 نشان داد Whisper مکان کاربر را ردیابی میکند و هویت کاربران Secret نیز همیشه مخفی نیست.
حساسیت مسأله آنجاست که تلگرام ادعا میکند روزانه بهطور متوسط یک میلیارد پیام را رد و بدل میکند. آوراهام میگوید: ادعاهای تلگرام گمراهکننده است. اطلاعات به اشتراک گذاشته شده از طریق محاوره مخفی تلگرام را میتوان به صورت پیامی واضح حداقل از اغلب دستگاههایی که آندروید دارند، به دست آورد. او میگوید از این نقطه ضعف در نسخههای قدیمی آندروید استفاده کرده تا وارد دستگاهی شود که تلگرام روی آن نصب شده است. این ضعف به آوراهام اجازه داده دسترسی کلی به ماشین داشته باشد. به عبارت دیگر او کنترل دستگاه را در اختیار داشت. او متوجه شده هرکسی که نوعی دسترسی به موبایل داشته باشد میتواند پیامهایی را بخواند که به وسیله تلگرام ارسال شده است. محاوره مخفی را میتوان بهطور پیامهای متنی واضح در حافظه این برنامه پیداکرد. حتی پس از آنکه کاربر پیام را حذف میکند، میتوان بهطور کامل آن را از دستگاه بازیابی کرد.
اما «مارکوس را» مدیر بازاریابی تلگرام میگوید: این برنامه همانطور که تبلیغ شده فعالیت میکند. به گفته او اگر شما تصور کنید مهاجم دسترسی کامل به تلفنهمراه شما دارد، هیچ برنامهای درامان نخواهد بود. به همین دلیل است که تولیدکنندگان تلفن همراه هیچ گاه دسترسی کامل به گوشی را در فرآیند آمادهسازی کارخانهای انجام نمیدهند.
با این وجود آوراهام معتقد است که دلیل تلگرام هیچ ربطی به ضعف کدگذاری برنامه ندارد و این شیوه رمزگذاری آنطور که همه تصور میکنند ایمن نیست. او میگوید: لازم نیست حتما یک کارشناس حرفهای باشید تا بتوانید به پیامهای مخفی تلگرام دسترسی یابید. تلگرام باید فعالیت بیشتری برای حمایت از کاربرانش انجام دهد.
پیامهای مخفی تلگرام یکی از هشت برنامهای است که گروه حامی حقوق شهروندی Electronic Frontier Foundation به آن نمره کامل از لحاظ امنیت و حفظ حریم شخصی میدهد. EFF یک جدول امنیتی دارد که درآن برنامههای مختلف را براساس ویژگیهایی خاص رتبهبندی میکند. این ویژگیها عبارتند از انتقال، طرح امنیتی، فرآیند احراز هویت، کنترل امنیتی و دسترسی به کلیدهای رمزگذاری توسط فروشنده. علاوه بر تلگرام چهار برنامه AIM، پیامرسان بلک بری (Blackberry Messenger)، فیسبوک و Google Hangouts. نمره کامل امنیتی دریافت کردهاند.
«جوزف بنو» یکی از کارشناسان فناوری در موسسه EFF میگوید: اگر ادعای آوراهام درست باشد کاربران از لحاظ امنیتی دچار مشکل میشوند. او هم معتقد است زمانی که مهاجم بتواند به تلفنهمراه فرد دسترسی یابد، حمایت از حریم شخصی بیمعنی میشود. با این وجود تلگرام باید اقداماتی در نظر میگرفت که تضمین شود پیامهای حذف شده بهطور کامل از دستگاههای ارسالکننده و دریافتکننده، پاک شوند.
اما «مت کلمنس» مهندس نرمافزار از شرکت فروش فناوریهای ایمنی Arxan Technologies میگوید: اقداماتی را میتوان به کار برد که اجازه نمیدهد مهاجمان بتوانند برنامه را در دستگاه در معرض خطر بررسی کنند. همچنین زبان برنامهنویسی به کار رفته برای تعریف قابلیتهای مهم میتواند تمایزی قابل توجه ایجاد کند. روشهایی وجود دارد که به برنامه اطلاع میدهد دستگاه در معرض خطر است و آن را خاموش میکند. به این ترتیب هیچ پیامی در حافظه دستگاه باقی نمیماند. با توجه به رایگان بودن این برنامه و اهداف آن به نظر میرسد جایگزینی مناسب برای هر برنامه پیامرسانی دیگر باشد اما حفظ این کاربران یک چالش جدی است.