ابتداییترین ویژگی که یک پیغامرسان باید داشته باشد، رمزنگاری کلیه ترافیک ورودی و خروجی است. برای نمونه تلگرام دارای چنین قابلیتی است و عملاً شنود چتهای خصوصی را ناممکن کرده است. متأسفانه به تازگی مشخص شده است پیغام رسان بومی «سروش» (Soroush) فاقد هرگونه رمزنگاری است.
بررسیها نشان داده است تبادل کلیه پیامها و پستهای پیامرسان سروش در برخی نسخه ها بدون هر گونه رمزنگاری و به صورت Plain Text (متن معمولی) صورت میگیرد که عملاً شنود و حتی دستکاری پیامها را امکانپذیر میکند. تصور کنید به یک مودم یا روتر وصل میشوید که حملهکننده، پشت آن قرار دارد؛ این امکان وجود دارد که نه تنها چتهای خصوصی رد و بدل شده شنود شود، بلکه دستکاری آنها نیز ممکن است. کافی است حمله کننده به نحوی میان شما و ارتباط اینترنتی قرار بگیرد. مطمئناً سناریوهای بیشتری قابل تصور است.
حملات موسوم به مرد میانی
در این دست از حملات که به عنوان «مرد میانی» شناخته میشوند، غالباً به رمزگشایی ترافیک و استخراج کلید رمزنگاری نیاز است؛ اما از آنجایی که پیامرسان سروش از هیچگونه الگوریتم رمزنگاری و اعتبارسنجی استفاده نمیکند، آماتورترین کاربران هم قادر هستند با یک جستوجو و مطالعهی کوتاه، آن را شنود و حتی دستکاری کنند.
مقایسه پیامرسان سروش و تلگرام
حتی اگر حمله کنندهای هم در کار نباشد، سایر برنامههای نصب شده بر روی دستگاه کاربر قادر به استراق سمع کلیه فعالیتهای سروش هستند. برای درک بهتر این موضوع، تلگرام کلیه پیامها را رمزنگاری می کند و اگر ترافیک آن شنود هم شود، هیچ چیز قابل خواندن نیست.
جای خالی رمزنگاری
تردیدی وجود ندارد سروش به عنوان یک پیام رسان به قابلیت رمزنگاری (آن هم یک الگوریتم قدرتمند) در کنار اعتبارسنجی نیاز دارد تا امکان شنود و دستکاری پیامها و همچنین فایل های رد و بدل شده وجود نداشته باشد، چیزی که عملاً چنین نیست. این ضعف صرفاً به چتهای خصوصی محدود نمیشود و امکان مشاهده پستهای گروهها و کانالهایی که کاربر عضو آنهاست نیز وجود دارد. حتی دستوراتی چون تغییر نام کاربری نیز به صورت کاملاً معمولی صورت میگیرد که نشان از بی توجهی کامل به امنیت است.
کلمه عبور محلی
یکی دیگر از ضعفهای سروش در محافظت از حریم خصوصی کاربر، کلمه عبور محلی است. در واقع کلمه عبور تعیین شده از سوی کاربر برای محافظت از برنامه و جلوگیری از دسترسی غیرمجاز، در سمت گوشی نگهداری می شود و بر خلاف تلگرام، با حذف و نصب مجدد آن، هیچ کلمه عبوری برای فعالسازی درخواست نمی شود.
با این تفاسیر باید گفت چنانچه پیامرسانهای ایرانی قصد دارند به طور جدی در عرصههای داخلی و خارجی فعالیت کنند و کاربران زیادی را به خود جذب کنند، باید فاکتورهای امنیت و حریم خصوصی کاربران را بیش از هر چیز دیگری مورد توجه قرار دهند.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت