کارشناسان، امنیت سرویس پاسپورت تلگرام را زیر سوال بردند

هیچ‌گاه رمزنگاریت را سر‌هم نکن

سر‌هم کردن رمزنگاری(Rolling your own crypto) یا درست کردن روش رمزنگاری از پایه و بصورت دلخواه در صنعت امنیت اطلاعات به دلیل احتمال زیاد نمایان ساختن آسیب‌پذیری به امری منسوخ تبدیل شده است. این مسئله را می‌توان از IOTA که به روش دشواری متوجه این قضیه شد پرسید! جکسون پالمر(Jackson Palmer) یکی از اولین کسانی بود که در رابطه با این با تلگرام تماس گرفت و مدت کوتاهی پس از خبر آسیب‌پذیری پاسپورت تلگرام(Passport Service) توییت کرد «بهتر است بخواهید قبل از ارسال اسناد هویتی خود به سرویسی که رمزارز خود را سر‌هم و بطور پیش‌فرض از رمزگذاری E2E پشتیبانی نمی‌کند مجددا فکر کنید.»

درحالی که پاسپورت تلگرام دارای رمزگذاری از مبدا به مقصد است ولی رمز‌گذاری اطلاعات ارسال شده به الگوریتم اختصاصی تلگرام وابسته است – اطلاعات بسیار با ارزش همانند پاسپورت و اسکن مدارک بانکی، مطمعنا برای هکرها(همانند ظرف عسل) بسیار جذاب است. گزارش جدیدی از Virgil Security بسیاری از عملکرد‌های درونی سرویس پاسپورت تلگرام را آشکار ساخت. بر اساس اطلاعاتی که این تیم امنیتی استخراج کرده است، همه چیز دلگرم کننده بنظر نمی‌رسد. در حالی که هک کردن سرویس حتی برای یک تیم پیشرفته یک امر عادی به حساب نمی‌آید، نقاط آسیب‌پذیری کافی برای ایجاد امکان رخنه‌ی یک مهاجم وجود دارد.

گزارش نتیجه‌گیری می‌کند: «کدنویس معروف و ناشناسی با نقل قول می‌گوید«رمزنگاری خود را سر‌هم نکنید» در سال 2015، تلگرام به انتقاد مشابهی روبرو شد. در سال 2016، 15 میلیون شماره تلفن ایرانی بدلیل رخنه در قسمت احراز هویت تلگرام، لو رفت. هم‌اکنون در سال 2018 و در پاسپورت تلگرام، هیچ نقل قولی معتبر نیست.»

اگر اطلاعات تلگرام شما در دسترس دیگران قرار بگیرد، نخواهید فهمید

یکی از مشکلات سیستم تلگرام برای رمزگذاری و ذخیره‌سازی اطلاعات کاربران به کمک پاسپورت این است که هیچ امضای دیجیتالی در آن استفاده نشده است. این امضا بطور معمول به منظور بروزرسانی نرم‌افزاری که توسط شرکت منتشر می‌شود، مورد استفاده قرار می‌گیرد. به عنوان مثال، به هر کسی اجازه می‌دهد تا اطمینان حاصل کند، پکیج نرم‌افزاری که نصب می‌کند اصل بوده و دستکاری نشده است.

طبق اطلاعیه‌ی Virgil Security:

از آنجایی که حملات Brute force(نوعی حمله‌ی هکری که در آن هکر‌ها بانک پسورد را به منظور ورود غیر مجاز بر روی صفحه‌ی لاگین امتحان می‌کنند) بر روی الگوریتم رمزگذاری انتخاب شده به آسانی انجام پذیر است، امنیت اطلاعاتی که شما به سرویس ابری تلگرام ارسال می‌کنید به شدت به قدرت پسورد شما بستگی دارد. و فقدان وجود امضای دیجیتالی این امکان را می‌دهد که داده‌های شما بدون ‌این‌که شما و یا گیرنده قادر به تشخیص آن باشید تغییر داده شوند.

Virgil Security

ممکن است پاسپورت تلگرام ذاتا اشکالاتی داشته باشد، اما به وضوح روش‌هایی وجود دارد تا با استفاده از آن‌ها می‌توانند اطمینان کاربران و اعتبار تلگرام را افزایش دهند. درگذشته و در زمان رونمایی از این طرح «تعدادی از کاربران تلگرام حتی با وجود وعده‌ی رمزگذاری از مبدا تا مقصد، به طور طبیعی از ارسال اطلاعات شخصی خود به این پلتفرم ابراز نگرانی کردند.» مدیرعامل شرکت تلگرام پاول دورف(Pavel Durov) مردی کم حرف است، او از زمان ملحق شدنش به توییتر که تقریبا 10 سال از آن می‌گذرد، برای 1.45 میلیون دنبال کننده‌ی خود کمتر از 2000 بار توییت کرده است. او اگر بخواهد به نگرانی‌های موجود در مورد امنیت رمزگذاری تلگرام خاتمه دهد، لازم است که به این سکوت خاتمه دهد.

فکر می‌کنید نگرانی‌های موجود در مورد سرویس پاسپورت تلگرام توجیه پذیر است؟ نظر خود را به صورت کامنت با ما در میان بگذارید.