کدام‌یک امنیت بیشتری دارد: واتس‌اپ، تلگرام یا سیگنال؟

کرونوس – امنیت در فضای مجازی موضوعی بسیار پیچیده و بحث‌برانگیز است. با این حال، با توجه به این که مجموع پیام‌های ارسالی از سوی کاربران اینترنت به یکدیگر بواقع محتوی بسیاری از واقعیت‌های زندگی افراد است، داشتن یک دورنمای کلی از مسأله‌ی امنیت در شبکه‌های مجازی بسیار خطیر و مهم به نظر می‌رسد.

در این مطلب سعی می‌کنیم به امنیت در سه اپ پیام‌رسان واتس اپ، تلگرام و سیگنال پرداخته و آن‌ها را با یکدیگر مقایسه کنیم. امنیت برای هر فرد به معنی خاصی است. اگر برای شما حفاظت از پیام‌های نشان‌داده شده روی گوشی تلفن همراهتان مهم باشد، ممکن است برای فرد دیگری محافظت از این پیام‌ها در برابر دزدیده شدنشان پیش از رسیدن به گوشی تلفن همراه اهمیت بیشتری داشته باشد. در این‌جا سعی می‌کنیم به طور مختصر برخی از ابعاد امنیتی در پیام‌رسان‌ها را پوشش دهیم تا بتوانیم نگاهی کلی به امنیت روی اپ‌های پیام‌رسان داشته باشیم.

رمزگذاری

این سه پیام‌رسان برای رمزنگاری پیام‌ها، از آخرین فناوری‌ها استفاده می‌کنند. هر پیامی که ارسال و دریافت می‌شود، از دو کلید رمزنگاری استفاده می‌کند. یکی از این کلیدها، کلید عمومی (public key) و دیگری کلید خصوصی (private key) نام دارند و بدون وجود هر یک از این کلیدها، پیام‌رسانی ممکن نیست. این کلیدها در واقع رشته‌های بلندی از اعداد و حروف هستند که گیرنده و فرستنده از آن‌ها استفاده می‌کند تا هویت دیگری را سنجیده و بتواند با او پیام را مخابره کند.

مسأله‌ی مهم این است که این دو کلید باید امنیت بالایی داشته باشند. یکی از مهم‌ترین شاخص‌های امن بودن یک کلید عمومی، واقعاً عمومی بودن آن است. کلید عمومی باید روی اینترنت موجود باشد تا هکرها و فعالین امنیت فضای مجازی بتوانند به طور مستمر آن را بررسی کرده و ضعف‌های آن را بیابند. اگر کلیدهای عمومی روی اینترنت برای عموم قابل رؤیت نباشند، امکان سنجیدن ضعف آن‌ها توسط افراد و فعالین غیرممکن است و این امکان را به دولت‌ها و افرادی که از دموکراتیک نبودن فضاها برای مقاصد خود استفاده می‌کنند می‌دهد تا با استفاده از نرم‌افزارها و سخت‌افزارهای قدرتمند خود رمز این کلید عمومی را بشکنند، بی این که هیچ کس دیگری در فضای عمومی متوجه این موضوع شود.

کلید عمومی در واتس‌اپ عمومی نیست. این بدین معنی است که شرکت واتس اپ با محفوظ نگه داشتن این کلید از انظار عمومی سعی در حفظ امنیت آن دارد. اما فعالین فضای مجازی و هکرها این را می‌دانند که همین موضوع موجب ضعف این کلید می‌شود. کلیدی که توسط عموم قابل رؤیت نباشد و هکرها نتوانند ضعف آن را بیابند، کلید ضعیفی محسوب می‌شود.

کلید عمومی در تلگرام و سیگنال واقعاً عمومی است و همه می‌توانند به جستجوی ضعف این کلیدها پرداخته و مشکلات امنیتی آن‌ها را به تولیدکنندگان این رمزها اطلاع دهند. برای نمونه تلگرام برای افرادی که بتوانند نقاط ضعف کلید عمومی تلگرام را بیابند، جایزه‌ای با سقف ۳۰۰ هزار دلار تعیین کرده است، حال این که واتس‌اپ با خوش‌خیالی تلاش دارد ماهیت کلید خود را در ساختار اداری شرکتش محفوظ نگه دارد.

رمزنگاری کاربر به کاربر

واتس‌اپ و سیگنال از یک ساختار مشترک که پروتکل سیگنال نام دارد و یک پروتکل متن‌باز است استفاده می‌کنند. همان‌طور که بالا توضیح دادیم، موجود بودن کد برنامه‌نویسی کل سیستم پیام‌رسان روی اینترنت، ملاک قوی بودن آن است. اما بخش عمده‌ی کد رمزنگاری تلگرام محفوظ بوده و برای رفع اشکال روی اینترنت قرار داده نشده است. این بدین‌معناست که تلگرام با تعداد محدود برنامه‌نویسان و متخصصین امنیت شبکه در استخدامش سعی در اشکال‌زدایی از این کدها و امن کردنشان دارد در حالی که پروتکل سیگنال توسط میلیون‌ها متخصص امنیت شبکه که علاقه‌ی اصلی‌شان پیدا کردن سوراخ‌های امنیتی است به طور روزانه بررسی شده و اشکالات آن پیدا می‌شود.

واتس‌اپ و سیگنال از رمزنگاری کاربر به کاربر (end-to-end encryption) استفاده می‌کنند. یعنی پیام‌های ارسالی و همچنین تماس‌ها فقط توسط گیرنده و فرستنده قابل مشاهده هستند و هیچ فرد یا سیستمی در میانه‌ی راه امکان شنود پیام‌ها را ندارد. این البته بدین معنی نیست که این سیستم‌ها غیرقابل هک هستند و پیام‌های ارسالی توسط شحص سوم قابل دیدن و سوء استفاده نیست. در قسمت «هک دولتی» توضیح خواهیم داد که این رمزنگاری چگونه توسط افراد و سازمان‌هایی که به سیستم مخابراتی دسترسی دارند قابل نفوذ است.

رمزنگاری کاربر به کاربر در حالت چت معمولی روی تلگرام وجود ندارد. تنها قابلیت Secret Chat در تلگرام امکان رمزنگاری کاربر به کاربر را می‌دهد.

ذخیره‌ی اطلاعات کاربران

دلیل اصلی رایگان بودن این سیستم‌ها و بیشتر سایت‌های فضای مجازی این است که این شرکت‌ها به طور بالقوه یا بالفعل از اطلاعات کاربرانشان استفاده می‌کنند. اگر شرکتی اطلاعات شخصی افراد را بر روی سرورهایش ذخیره کند، به صورت بالقوه موجب کاهش امنیت کاربرش می‌شود چرا که سرور این شرکت به هر حال امکان هک شدن خواهد داشت. تلگرام اطلاعات کاربران را ذخیره می‌کند. سیاست شرکت‌ها برای استفاده از اطلاعات کاربرانشان مشخص نیست. ما هنوز به طور دقیق و شفاف نمی‌دانیم برای نمونه گوگل چه استفاده‌هایی از اطلاعات ما می‌کند، اما مستند اخیر Social Media Dilemma نشان داد که این شرکت‌ها از هر حرکت کوچک ما روی سایت‌ها و اپ‌هایشان استفاده کرده و با تحلیل آن‌ها سعی در بهتر کردن تبلیغات و کسب سود بیشتر دارند.

در حالی که تلگرام اطلاعات کاربر را ذخیره می‌کند، واتس‌اپ و سیگنال این کار را انجام نمی‌دهند و باعث می‌شوند هکری که به سرورهای آن‌ها نفوذ می‌کند نتواند به چت‌های کاربران دسترسی داشته باشد. برای همین است که وقتی تلگرام را روی گوشی ویا سیستم جدیدی نصب می‌کنید، همه‌ی چت‌های قبلی‌تان بازیابی می‌شود در حالی که با نصب واتس‌اپ و سیگنال روی سیستم جدید، چت‌های قبلی بازیابی نمی‌شوند.

هک دولتی

هر سه این سیستم‌ها می‌توانند تحت شرایط خاصی توسط شرکت‌ها و افرادی که به سیستم GSM (یا سامانه‌ی جهانی اطلاعات سیار) دسترسی دارند قابل هک کردن باشند. این مقاله به یکی از این راه‌ها پرداخته است.

فرض کنید مریم برای شما پیامی را ارسال می‌کند اما گوشی شما موقتاً به اینترنت دسترسی نداشته و شما پیام را دریافت نمی‌کنید. پیام به طور موقت روی سرور تلگرام یا واتس‌اپ ذخیره می‌شود تا هنگامی که گوشی شما به اینترنت وصل شد پیام را دریافت کند.

در این حین، فردی که یک دستگاه SS7 hub که با قیمت ۳۰۰ تا ۵۰۰ دلار برای خرید در بازار موجود است می‌تواند اطلاعات سیم‌کارت، مشخصات گوشی شما و همین‌طور موقعیت مکانی شما را از دکل‌های مخابراتی دریافت کند و با ثبت کردن آن اطلاعات در گوشی خود، از واتس‌اپ، سیگنال یا تلگرام «کد فعالسازی» درخواست کند. فردی که اکنون کپی شما روی سیستم مخابراتی و فضای مجازی است می‌تواند به همه‌ی اطلاعات تلگرام شما و همچنین آخرین پیام‌هایی که به شما نرسیده بود در واتس‌اپ و سیگنال و یا هر برنامه‌ی پیام‌رسان دیگر دسترسی داشته باشد.

امنیت گوشی و رمز دومرحله ای

با در نظر داشتن همه‌ی نکات بالا، باز ما تلاش می‌کنیم تا حد امکان ارتباطات خود را ایمن نگه داریم. این بخش برای فعالین سیاسی و اجتماعی و همه‌ی افرادی که امکان برخورد با پلیس‌های مستبد را دارند، حائذ اهمیت زیادی است. وقتی توسط پلیس دستگیر می‌شویم، پلیس به دلیل در اختیار داشتن متن بیشتر مواد قانونی، از آن‌ها استفاده کرده و سعی می‌کند گوشی تلفن ما را ضبط کند. لازم به ذکر نیست که ضبط گوشی در حالی که گوشی از امکانات امنیتی اولیه مانند رمز عبور محروم است، می‌تواند تمام اطلاعات ما را در اختیار سیستم‌های امنیتی و قضایی قرار دهد. در سیگنال، تلگرام و واتس‌اپ می‌توانید سیستم عبور دومرحله‌ای را فعال کنید اما اگر این سیستم‌ها برای عبور دومرحله‌ای نیز به ارسال پیام به سیستم مخابراتی نیاز داشته باشند، شاید بهتر باشد این گزینه را فعال نکنید. سیگنال که این روزها بهتر و بهتر می‌شود، برای این یک پاسخ خوب دارد. رمز عبور چهار عددی برای ورود به اپ.

وقتی گوشی به دست مقام‌های امنیتی و قضایی بیفتد، مقامات برای دسترسی به اطلاعات ما می‌توانند بنا به میزان هزینه‌ای که می‌خواهند روی گوشی ما انجام دهند، اقدامات سخت‌افزاری یا نرم‌افزاری روی گوشی ما انجام دهند‌. سیستم‌های اندرویدی به دلیل دسترسی زیادی که به قطعات گوشی ما می‌دهند، راحت‌تر توسط نرم‌افزارهای قفل‌شکن مورد نفوذ قرار می‌گیرند. اپل اما قفل‌گذاری گوشی‌های خود را تاکنون عمومی نکرده و با بروزرسانی پی‌در‌پی سعی در حل مشکلات امنیتی‌اش دارد؛ اما هکرهایی آن بیرون هستند که هر روز تلاش می‌کنند قفل این سیستم‌ها را باز کنند. اف‌بی‌آی یکی از مراکزی است که ادعا کرده «در پشتی» روی گوشی‌های اپل را باز کرده است. به هر حال، ممکن است صدها در پشتی در گوشی‌های ما وجود داشته باشد.

دسترسی شرکت‌ها به اطلاعات

شرکت‌های بی‌شماری به اطلاعات ما روی اینترنت دسترسی دارند. هر یک از این شرکت‌ها به بخش کوچکی از اطلاعات ما دسترسی دارد اما بلحاظ نظری قوه‌ای که بتواند از این شرکت‌ها درخواست کند اطلاعات ما را به آن‌ها تحویل دهند، معمولاً به اطلاعات بسیار زیادی در مورد ما، از مکان فعلی ما گرفته تا پیتزایی که چند لحظه قبل سفارش دادیم خواهد داشت. شرکت‌هایی مانند تلگرام به طرق مختلف از اطلاعات ما استفاده می‌کند همان‌طور که جی‌میل از اطلاعات ایمیل‌های ما برای تبلیغات استفاده می‌کند. روی سیگنال خیالمان راحت است که اطلاعاتمان روی سرورهای سیگنال برای مدت زیادی ذخیره نمی‌ماند.

گسیل اطلاعات از مجراهای قانونی

یکی از مشکلات واتس‌اپ این است که یک شرکت آمریکایی است و آمریکا بلحاظ قانونی امکانات بیشتری را به مقام‌های قضایی برای کنترل اطلاعات شهروندی افراد می‌دهد. در همین حین اطلاعات موجود بر روی تلگرام به قوانین داخلی عمارات متحده عربی، روسیه و آلمان محدود است و این دولت‌ها می‌توانند با حکم قضایی به این پیام‌رسان دستور همکاری بدهند.

امیدوارم با این اطلاعات بتوانید پیام‌رسان محبوبتان را بهتر انتخاب کنید. این‌ها ساده‌ترین پیشنهادات برای امنیت روی شبکه‌های مجازی بود.