تلگرام آنقدر‌ هم که فکر می‌کنید امن نیست!

محققان دانشگاه‌های مختلف نقاط ضعفی در پروتکل رمزنگاری تلگرام، شناسایی کرده‌اند که نگرانی‌هایی درباره‌ امکان دستکاری پیام‌ها در این پیام‌رسان ایجاد می‌کند.
 برخی از مشخصات پروتکل امنیتی تلگرام، مانند MTProto، به‌طور کامل استنداردهای مورد نظر جامعه‌ی رمزنگاری را برآورده نمی‌کند. علاوه بر این، نقص‌هایی در مدیریت اطلاعات شخصی کاربران و احتمال دسترسی نامناسب به این اطلاعات توسط اشخاص ثالث وجود دارد.
بر اساس این تحلیل‌ها، تلگرام در مقایسه با سایر برنامه‌های پیام‌رسان که رمزنگاری پایان به پایان (E2E) را به طور پیش‌فرض ارائه می‌دهند، ممکن است کمتر امن باشد. همچنین تحقیقات نشان داده‌اند که تلگرام در چندین حمله‌ی امنیتی آسیب‌پذیر بوده است، از جمله حملاتی که منجر به دسترسی به اطلاعات کاربران شده است.
طی آخر هفته، بخشی از مصاحبه اخیر با پاول دوروف، بنیانگذار تلگرام، در پلتفرم X منتشر شد. در این ویدیو، دوروف به تاکر کارلسون، شخصیت برجسته راست‌گرا، می‌گوید که او تنها مدیر محصول در شرکت است و تنها «حدود 30 مهندس» را استخدام کرده است.
کارشناسان امنیتی می گویند در حالی که دوروف در حال لاف‌زنی درباره «بسیار کارآمد» بودن شرکت مستقر در دبی بود، حرف‌های او درواقع زنگ خطری برای کاربران به شمار می‌رفت. در مقابل، رمی وون، سخنگوی تلگرام، این ادعا را رد کرد و اظهار داشت که تلگرام هیچ مرکز داده‌ای در امارات متحده عربی ندارد.
گرین به این نکته اشاره کرده است که، برخلاف سیگنال یا واتس‌اپ، چت‌های تلگرام به‌طور پیش‌فرض از رمزنگاری سرتاسری برخوردار نیستند. برای برخورداری از این ویژگی امنیتی، کاربران تلگرام می‌بایست «Secret Chat» را فعال کنند، تا پیام‌هایشان تنها برای فرستنده و گیرنده قابل خواندن باشد و برای تلگرام یا هر شخص دیگری غیرقابل دسترسی باقی بماند.
علاوه بر این، برخی افراد طی سال‌های اخیر نسبت به کیفیت رمزنگاری تلگرام، که از الگوریتم اختصاصی ساخته شده توسط برادر دوروف استفاده می‌کند، ابراز تردید کرده‌اند. این نکته در مصاحبه دقیق‌تر گرین با کارلسون نیز مطرح شده است.
ایوا گالپرین، مدیر امنیت سایبری در بنیاد Electronic Frontier Foundationو متخصص باسابقه در زمینه امنیت گفت که مهم است به خاطر بسپاریم که تلگرام، برخلاف سیگنال، بسیار فراتر از یک برنامه پیام‌رسان است.
گالپرین در گفتگو با TechCrunch تأکید کرد: «تفاوت تلگرام (که آن را بدتر می‌کند!) در این است که تلگرام صرفاً یک اپلیکیشن پیام‌رسان نیست، بلکه یک پلتفرم رسانه‌ای اجتماعی است. به عنوان یک پلتفرم رسانه اجتماعی، تلگرام دسترسی گسترده‌ای به داده‌های کاربر دارد، به ویژه محتوای ارتباطاتی که بدون رمزنگاری سرتاسر انجام می‌شوند.» وی افزود: «30 مهندس» به این معناست که هیچ تیمی برای مقابله با درخواست‌های قانونی وجود ندارد و هیچ زیرساختی برای مقابله با سوءاستفاده و مسائل تعدیل محتوا نیست.»
گالپرین در ادامه اظهار داشت: «من حتی می‌توانم استدلال کنم که کیفیت کار این 30 انجینیر چندان برجسته نیست. علاوه بر این، اگر من یک مهاجم سایبری بودم، این شرایط را خبری دلگرم‌کننده تلقی می‌کردم. هر مهاجمی از داشتن یک رقیب با تعداد کم کارکنان و فشار کاری بالا خوشحال خواهد شد.»
به عبارت دیگر احتمال اینکه تلگرام با تعداد کارکنان اندک، به خصوص در برابر هکرهای دولتی، در مبارزه با هکرها بسیار موثر باشد، بعید است.
سخنگوی تلگرام تأیید کرد که این شرکت 30 توسعه‌دهنده برای برنامه‌ها و زیرساخت‌ها دارد، اما ادعا می‌کند که 30 نفر دیگر در “تیم اصلی” خود دارد. سخنگوی مذکور به سوالات خاص ، از جمله اینکه آیا این شرکت مدیر امنیتی دارد یا چند نفر از مهندسان آن به طور تمام وقت روی امنیت پلتفرم کار می‌کنند، پاسخ نداد.
هفته گذشته، SwiftOnSecurity ، متخصص برجسته امنیت سایبری، در X نوشت: ” هزینه‌های اداره یک شرکت که تمام ابزارها و کارکنان لازم برای امنیت سایبری را دارا باشد، به طور قابل توجهی بالا است. توصیف اعدادی که من دیده‌ام، دشوار است. حتی صحبت کردن درباره این موضوع در یک منطقه خاکستری قرار دارد. با این حال، تعداد کارکنان و هزینه‌های نجومی که شاهد آن هستیم، واقعاً شگفت‌انگیز است.
به عبارت دیگر، حتی بزرگترین شرکت‌های جهان احتمالاً به اندازه کافی پول، زمان و انرژی برای تأمین امنیت خود صرف نمی‌کنند. دوروف ادعا می‌کند که تلگرام تقریباً یک میلیارد کاربر دارد. این یکی از محبوب‌ترین پلتفرم‌ها برای افراد شاغل در حوزه کریپتو (که میلیون‌ها دالر جابجا می‌کنند)، افراط‌گرایان، هکرها و ترویج‌دهندگان اطلاعات نادرست است.
این موضوع تلگرام را به هدف بسیار جذابی برای هکرها تبدیل می‌کند و این شرکت در نهایت فقط تعداد انگشت شماری از افراد را به امنیت سایبری اختصاص داده است.