پاول دوروف، بنیانگذار و مدیرعامل تلگرام، بهتازگی پیامرسان واتساپ را «ابزار تجسس» نامیده و مدعی شده است که مشکلات امنیتی که به طور دورهای در این برنامه یافت میشوند، در واقع بهعمد تعبیه شدهاند. در پیام تلگرامی دوروف آمده است: «هکرها میتوانند به گوشی تمام کاربران واتساپ دسترسی کامل داشته باشند. تنها کاری که یک هکر برای کنترل تلفن شما باید انجام میداد، این بود که یک ویدیو مخرب برای شما ارسال یا با شما در واتساپ، یک تماس تصویری برقرار کند.»
واتساپ ماه گذشته، اعلام کرد که یک آسیبپذیری را کشف و اصلاح کرده است که میتوانست از طریق فایلهای ویدیویی یا تماسهای تصویری، امکان اجرای کد از راه دور را فراهم کند.
بیاعتمادی به واتساپ و محصولات شرکت متا روزبهروز بیشتر میشود. همزمان با شروع اعتراضها در ایران، کاربران واتساپ با شماره ایران حتی در کشورهای دیگر هم نمیتوانستند از این سرویس استفاده کنند و بدبینی به این سرویس بیش از پیش افزایش یافت. واتساپ در این باره توضیح قانع کنندهای نداد و به ذکر اینکه برای رفع مشکلات تلاش میکند، بسنده کرد.
با این حال برای افرادی که به حفظ حریم خصوصی خود اهمیت میدهند، انتخاب بین تلگرام و واتساپ، یک انتخاب بین بد و بدتر است. الگوی تجاری هر دو سرویس تقریبا مشابهاند و این سرویسها هر دو اطلاعات شخصی یا هویتی کاربران را ذخیره میکنند.
شرکت امنیت سایبری «چک پوینت» (Check Point) در سال ۲۰۲۱، هشدار داد که هکرها به طور فزایندهای از تلگرام برای توزیع بدافزار استفاده می کنند. حتی زمانی که تلگرام روی دستگاههای مورد نظر نصب نشده یا از آن استفاده نمیشود، هکرها میتوانند از راه دور، فرمانهای عملیات مخرب را از طریق «بات» تلگرام به اهداف ارسال کنند.
مقایسه امنیت واتساپ و تلگرام
رمزنگاری سرتاسری در تلگرام به صورت پیشفرض انجام نمیشود. این قابلیت فقط در گفتوگوی مخفی (secret chat) اعمال میشود. در گفتوگوی مخفی، پیامهای ردوبدلشده در فضای ابری و سرورهای تلگرام ذخیره نمیشود و فقط در دستگاه فرستنده و گیرنده ثبت میشوند. همچنین در فضای گفتوگوی مخفی تلگرام، امکان ثبت تصویر از پیام (اسکرینشات) وجود ندارد و کاربران میتوانند تنظیمهایی را اعمال کنند که پیامها بعد از مدتی، کاملا محو شوند.
بر خلاف تلگرام، واتساپ رمزنگاری سرتاسری را برای تمام گفتوگوها به صورت پیشفرض فعال کرده است. این سرویس همچنین بهتازگی امکان محو کردن پیامها را ارائه کرده است. این در حالی است که تلگرام به کاربران اجازه میدهد پیامهای موجود در مکالمه را از هر دو طرف حذف کنند. مدیرعامل تلگرام میگوید «این ایده خوبی است که کاربران بر مکالمات خود در سیستمعاملهای پیامرسان کنترل کاملی داشته باشند.»
Read More
This section contains relevant reference points, placed in (Inner related node field)
کاربران برای ثبتنام در تلگرام باید شماره تلفن بدهند. در عین حال، تلگرام به افراد این امکان را میدهد که شماره تلفن خود را از دید بقیه افراد پنهان کنند. بهطور پیشفرض، تنها اعضای دفترچه تلفن شما میتوانند شماره تلفن شما را مشاهده کنند، اما میتوان محدودیتهای بیشتری در این زمینه اعمال کرد.
برخلاف تلگرام، واتساپ از کاربران می خواهد که در وهله اول با داشتن شماره تلفن مخاطب، ارتباط برقرار کنند. این بدیهی است که خصوصی نگه داشتن شماره از مخاطبان و دیگر کاربران امکانپذیر نیست.
با آنکه واتساپ رمزنگاری سرتاسری را اجرا و از بالاترین سطح پروتکلهای امنیتی موجود استفاده میکند، هنوز در مورد دادههایی که واتساپ با متا و دلالان داده به اشتراک میگذارد، نگرانی وجود دارد. همچنین واتساپ رمزگذاری برای پشتیبانگیری از گفتوگو را ارائه نمیدهد، اما فراداده پیامها را حذف میکند. فراداده اطلاعاتی است که دادههای دیگر را توصیف میکند. به عبارت دیگر، اطلاعاتی است که برای توصیف دادههای موجود در چیزی مانند یک صفحه وب، سند یا تصویر استفاده میشود.
این در حالی است که تلگرام مقداری از فراداده کاربر را حذف میکند اما این کار را به اندازه واتساپ انجام نمیدهد. فرادادهای که تلگرام جمعآوری میکند شامل آدرس آیپی، لیست مخاطبان شما برای مطابقت دادن با افرادی که از این سرویس نیز استفاده میکنند و تاریخچه تغییرات نام کاربری است. به گفته تلگرام، این دادهها حداکثر تا ۱۲ ماه ذخیره میشوند.
امنترین پیامرسانها کداماند؟
بین «امنیت» (security) و «حریم خصوصی» (privacy) تفاوت وجود دارد. امنیت در مورد محافظت از دادههای شما در برابر دسترسیهای غیرمجاز است؛ اما حریم خصوصی در مورد محافظت از هویت شما است؛ صرف نظر از اینکه چه کسی به آن دادهها دسترسی دارد.
آنچه پیامرسانهای مبتنی بر حریم خصوصی را از پیامرسانهای تجاری متمایز میکند، توجه آنها به حریم خصوصی کاربران از طریق جمع نکردن دادههای شخصی آنان است. اغلب این ابزارها برای حفظ امنیت کاربران ویژگیهای سادهای را به کاربران ارائه میدهند و همچون تلگرام در آنها سیلی از قابلیتهای کاربردی یافت نمیشود.
سیگنال یکی از ایمنترین پیامرسانها است که فقط شماره تلفن کاربر را ثبت میکند. واتساپ و تلگرام میگویند که نمیتوانند محتوای پیامهای رمزگذاریشده کاربران را مشاهده کنند اما چیزی که نمیگویند این است که فهرستی از دادههای دیگر که جمعآوری میشود، وجود دارد که میتواند به هویت شما مرتبط شود. شناسه دستگاه منحصربهفرد شما، تاریخچه خرید، اطلاعات مالی، موقعیت فیزیکی، شماره تلفن، اطلاعات تماس شما و فهرست مخاطبان شما، محصولاتی که با آنها تعامل داشتهاید و میزان استفاده شما از برنامه و عملکرد آن و اینکه چه زمانی با آن کار میکنید، این لیست ادامه دارد اما این موارد در سیگنال وجود ندارد.
«سِشِن» (session) پیامرسان دیگری است که هیچ اطلاعاتی از کاربران خود دریافت نمیکند و برای استفاده از آن به ثبت شماره تلفن نیازی نیست. این برنامه همچون سیگنال متن باز است و به محققان مستقل امکان میدهد امنیت آن را بررسی و به ارتقای آن کمک کنند. این برنامه همچنین به طور منظم تحت ممیزیهای امنیتی قرار میگیرد.
برخلاف اکثر پیام رسانهای دیگر، سشن بر اساس شبکه غیرمتمرکز فعالیت میکند و به یک سرور متمرکز متکی نیست. به همین دلیل، میتواند در برابر سانسور مقاومت بیشتری داشته باشد. مسدودسازی و نفوذ به سرویسهای غیرمتمرکز در مقایسه با سرویسهایی که به یک سرور متمرکز متکیاند، دشوارتر است. در فناوری سشن از یک بلاکچین استفاده میشود و هیچ پیامی روی آن ذخیره نمیشود. پیامها در سشن سرتاسر رمزگذاری و تا زمان تحویل، بهطور موقت در یک گروه ذخیره و سپس حذف میشوند.
