♻️ دروغ و راست آنچه در مورد #پیام‌رسان‌های_ایرانی شنیده‌اید 🔰به قلم سجاد نفیسی، فوق لیسانس امنیت IT دانشگاه صنعتی شریف این روزها درباره امنیت پیام‌رسان‌های ایرانی مطالب ضد و نقیضی منتشر می‌شود که متاسفانه فاقد بار کارشناسی و تخصصی لازم و آمیخته به اشتباهات فاحش فنی است. بعد از پرسش چندی از نزدیکان، بر این شدم که به زبان علمی ولی حتی‌الامکان ساده مسائل مطرح شده را برای عموم توضیح دهم. حقیر اطلاع‌رسانی صحیح و بیان حقایق را - فارغ از جهت‌گیری سیاسی و غیرسیاسی - یک وظیفه همگانی می‌دانم و معتقدم ایران جز به تلاش ما نه از شایعات پاک شده و نه کسی غیر از ما آنرا خواهد ساخت. لذا خواهش من این است که با توجه به حجم بالای مطالب غلط در این زمینه و لزوم روشنگری، عزیزان در انتشار این مطالب تا حد امکان کمک نمایند. 1️⃣سوال: آیا پیام‌رسان‌های ایرانی امن هستند؟ به غیر از یک مورد به اصطلاح لو دادن شماره موبایل اکانت‌های خاص، تا کنون نقص امنیتی جدی در پیام‌رسان‌های ایرانی گزارش نشده است. 2️⃣سوال: آیا پیغام‌های من در پیام‌رسان سروش/ایتا/... قابل شنود است؟ خیر؛ این دو پیام‌رسان از امن‌ترین پروتکل جهانی جهت ارتباط بهره می‌برند که به طور کامل غیرقابل شنود است. این پروتکل در تمامی تراکنش‌های مالی و بانکی، تبادلات ایمیل، ارتباطات متنی و صوتی و ... توسط تمام سازمان‌های و شرکت‌های جهانی از گوگل، میکروسافت، اپل و ... استفاده شده و به امنیت آن اعتماد می‌شود. به واسطه این گستردگی و اتفاق نظر، حتی می‌توان ادعا نمود امنیت این پروتکل از امنیت پروتکلی که تلگرام جهت انتقال مطالب استفاده می‌کند (که پروتکل امنی است) به مراتب بالاتر است. 3️⃣سوال: پس ماجرا تصاویر و فیلم‌های منتشر شده در این زمینه شنود پیام‌های این پیام‌رسان‌ها چیست؟ متاسفانه نگاه سطحی و غیرتخصصی باعث انتشار مطالب غلط بسیاری - حتی از سمت افرادی که تخصص IT در زمینه‌های غیر رمزنگاری دارند - شده است. پروتکل SSL که در این پیام‌رسان‌ها (و همه دنیا) جهت امنیت ارتباطات استفاده می‌شود در بستر شبکه غیرقابل شنود است. نکته‌ای که باعث تولید این فیلم‌ها و اشتباه نویسندگان و مخاطبین شده است، عدم توجه به یک نکته ریز در تامین امنیت این پروتکل است: این پروتکل تا زمانی امن است که دستگاه شما بتواند سروری که با آن ارتباط دارد را احراز هویت کند. اگر هر موضوعی (مانند نصب یک نرم‌افزار با دسترسی روت) باعث اختلال در این احراز هویت شود، طبعا این پروتکل دیگر امن نخواهد بود. دوستانی که این فیلم‌ها را تهیه کرده‌اند، با نصب نرم‌افزار روی گوشی و آلوده کردن آن توانسته‌اند ترافیک ارتباطی را شنود کنند. هیچ کس بدون دسترسی به گوشی شما و نصب نرم‌افزار روی آن، قادر به دیدن محتوای پیام‌ها نیست. طبعا کسی که به گوشی شما دسترسی داشته باشد، خیلی کارهای بهتری می‌تواند بکند: می‌تواند نرم‌افزار پیام‌رسان را با نرم‌افزار دیگری جایگزین کند تا همه پیام‌ها را برای وی ارسال کند. می‌تواند نرم‌افزار جاسوسی و شنود روی گوشی شما نصب کند. و ... من یک چالش ساده و قابل آزمون برای عموم مطرح می‌کنم: مدعیان، کافیست امنیت نرم‌افزار دیگری مثل ایمیل گوگل (جیمیل) را به همین شیوه تست کنند. خواهید دید که گوگل هم، برای ارسال و دریافت ایمیل‌های شما از همین پروتکل SSL استفاده می‌کند و با نصب نرم‌افزار شنود روی گوشی، می‌توانید متن ایمیل‌ها را به راحتی بخوانید. می‌دانیم که جیمیل طوری طراحی شده که به ادعای سازندگان آن امکان شنود ایمیل‌ها حتی توسط دولتها و هکرها وجود نداشته باشد. سوال این است که آیا جیمیل ناامن است؟! جواب این است که خیر. و همین جواب در مورد پیام‌رسان‌های داخلی هم صدق می‌کند. توضیح فنی این موضوع و نحوه تهیه فیلم ها را می‌توانید در این لینک بخوانید: http://telegra.ph/%D8%A7%D9%86%D8%AA%D9%82%D8%A7%D8%AF-%D8%A7%D8%B2-%D9%BE%DB%8C%D8%A7%D9%85%E2%80%8C%D8%B1%D8%B3%D8%A7%D9%86-%D8%A8%D9%88%D9%85%DB%8C-%DB%8C%D8%A7-%D9%BE%D8%B1%D9%88%D8%AA%DA%A9%D9%84-%D8%AC%D9%87%D8%A7%D9%86%DB%8C-SSL-04-05 4️⃣سوال: پس آیا کل هیاهو سر هیچ بوده و هیچ مشکلی در پیام‌رسان‌های داخلی وجود نداشته است؟ چرا، در مورد پیام‌رسان سروش، یک ضعف امنیتی وجود داشته که برطرف شده است. این ضعف امنیتی به هر کاربری اجازه می‌داد که بتواند شماره موبایل واقعی ادمین یک کانال را به دست بیاورد. مشابه همین ضعف امنیتی، چند سال پیش در یکی از نسخه‌های نرم‌افزار تلگرام هم وجود داشته و برطرف شده است. باید دانست که ضعف امنیتی در هر نرم‌افزاری ممکن است وجود داشته باشد و وجود داشته است، اما در حال حاضر ضعف امنیتی دیگری برای پیام‌رسان‌های داخلی منتشر نشده است. 🆔 @Imam_Asheghan ✅ کانال #امام_عاشقان