مقایسه پیام رسان های داخلی و خارجی در امنیت را اینجا دارم. بازهم وبگردی و بازهم مطالب جالب و جذابی که حیف اومد براتون نگذارم. امروز یه بررسی جالب از امنیت پیامرسان های بومی دیدم که امیر هاونگی زحمت اون رو کشیده، با اجازه و رضایت اش این بررسی را اینجا منتشر می کنم. در ادامه همراه با آی تی من باشید.
این روزا بحث پیام رسان های ایرانی و امنیت شون داغ هست. منم به نوبه خودم اومدم پیام رسانهای مختلف ایرانی رو بررسی کردم و از لحاظ امنیت و رمزنگاری نقاط قوت و ضعفشون رو ذکر کردم. لازم به ذکره که از نرم افزار packet capture استفاده کردم که از تکنیک man-in-the-middle استفاده میکنه؛ یعنی اینکه هر فردی میتونه به این اطلاعات دسترسی داشته باشه.
۱) مقایسه پیام رسان های داخلی و خارجی : پیام رسان بیسفون
همون طور که در عکس میبینید، این پیام رسان، پیامهای ارسالی رو رمز می کنه و تا جای خوبی غیرقابل decode شدن هست. اما یه مشکل داره و اون اینه که عکس های “پروفایل” مخاطبین شما در بیسفون میتونه به راحتی توسط هکرها مشاهده بشن.
۲) مقایسه پیام رسان های داخلی و خارجی : پیام رسان سروش
در این نرم افزار پیام ها رمزنگاری میشوند اما از رمزنگاری های معروف استفاده شده است و روش رمزنگاری نیز در پیام برگشتی از سرور ذکر می شود!
مشکل بزرگی که این روزها در خبرها نیز مشاهده کرده اید این است که شماره های افراد به راحتی قابل رویت است. کافی است در کانالی که قابلیت ارسال پیام دارد عضو شوید، شماره ادمین آن کانال رو میبینید! همچنین به فردی که شماره او را ندارید با استفاده از آیدی اگر به او پیام دهید می توانید شماره او را مشاهده کنید.
دلیل این امر این است که سروش، یونیک آیدی هر فرد را شماره او قرار داده است اما پیام رسانهایی مانند تلگرام از user_id خاص خود استفاده می کند و به شماره او کاری ندارد!
۳) مقایسه پیام رسان های داخلی و خارجی : پیام رسان آی گپ
در این پیام رسان پیام های ارسالی، تا حد خوبی رمزنگاری و غیرقابل رویت هستند. پیام های دریافتی از سمت سرور هم نکته خاصی برای سوءاستفاده ندارند. اما بهتر بود که کل packet رمزنگاری شود نه فقط پیام ارسالی توسط ما.
۴) پیام رسان ایتاء(نسخه بتا)
واقعا حرفی برای گفتن نمیمونه وقتی میبینیم که پیام ارسالی بدون هیچ رمزنگاری ای مستقیم قرار گرفته و می شود آن را به راحتی ردیابی کرد.بحث امنیت خیلی جدی تر می شود وقتی که میبینیم اگر ما رمز بانکی خود را برای پدر خود در پیام رسان ارسال کنیم، هر هکر مبتدی ای میتواند این پیام را به راحتی ببیند و به راحتی تمام اطلاعات شخصی ما را متوجه شود. ان شاءالله که فقط در نسخه بتا این نرم افزار این مشکل وجود دارد و به زودی در نسخه اصلی برطرف کنند.
۵) پیام رسان گپ
در این پیام رسان مانند ایتاء، پیام فرستاده شده به راحتی توسط هر هکری قابل رویت است.
۶) پیام رسان بله
این پیام رسان، رمزنگاری را واقعا به شکل خیلی خوبی انجام می دهد. حتی packet ها نیز رمزنگاری شده اند و به هیچ وجه قابل رویت نیستند. از این پیام رسان می توان در تراکنشات بانکی نیز استفاده کرد و این حد از امنیت انتظار می رود.
اینم حسن ختام بررسی = تلگرام
به عنوان نتیجه اینکه نرم افزار های بله و آی گپ و بیسفون بر روی رمزنگاری پیام های ارسالی کار کرده اند که پیام رسان بله خیلی قوی تر کار کرده. پیام رسان سروش هم رمزنگاری کرده، اما رمزنگاری های موجود و معروف توسط همه استفاده کرده. همچنین گافی داده که شماره های همه قابل رویت است!
سایر پیام رسان های گپ و ایتا متاسفانه هیچ اقدامی در زمینه رمزنگاری پیام ها انجام نداده و امنیت واقعا پایین دارند.
به پایان این مقاله رسیدیم. نظر شما درباره مطلب امیر هاونگی چیست ؟ نظرات خود را درباره این مقاله به اشتراک بگذارید. همچینین یادتون نره که به این مقاله میتونید امتیاز بدید !
134 پاسخ
واقعا جای تاسف داره پیامرسان های داخلی که این همه بی تفاوتن
قصدم از انتشار آن ، تصحیح و توجه مدیران این پیامرسان هاست
بررسی خوبی بود
خواهش میکنم
لطفا بررسی پیامرسان های داخلی رو هم قرار بدید
ممنونم
حتما چشم
خیلی جالب بود
حالا نظر شما بر استفاده از کدوم پیامرسان هاست؟
بله ، بیسفون
به نظرم بهترن
به زودی یک بررسی جامع میگذارم
خیلی جای تاسف داره
بله متاسفانه
یه نقد درباره پیامرسان های بومی بگذارین
تا بدونیم کدومو استفاده کنیم
حتما دوست عزیز
ایتا خیلی باحاله !
بله خیلی باحاله 🙁
فقط بله
چند وقتی میشه دارمش
عالیه عالیییییی
خواهش میکنم
خیلی بررسی خوبی بود ممنون از شما بابت بازنشر آن
سپاس از همراهی شما
با این تفاسیر, اگر امروز وزارت اطلاعات بخواد به سرور دسترسی پیدا کند و بتواند, امکان دسترسی به پیام ها وجود دارد؟
بله اصولا دسترسی میدن
ادمین(مدیر) هر پیام رسان می تواند به همه اطلاعات دسترسی پیدا کند، وزارت اطلاعات یا هر نهاد دیگر اگر بخواهد دسترسی پیدا کند باید با ادمین آن پیام رسان مذاکرات لازم را انجام دهد که آیا آن ادمین اطلاعات را در اختیار آن نهاد قرار دهد یا خیر
بله
یعنی عملا هیچ گونه حفظ حریم خصوصی معنا نخواهد داشت. درسته؟
امنیت کم و بیش دارن
شکی نیست که با این اوضاع و نقایص امنیتی آمار سواستفادهها و باجگیریها و مشکلات اجتماعی بالاتر خواهد رفت… این است ثمره عمل بدون علم!
نمیدونم چی بگم:(
سلام لطفا امنیت تلگرام رو با بله و آی گپ مقایسه کنید.
بله حتما
تا یه جایی حرف هاتون درسته اما نکته ای حواستون نبوده شما در حال استفاده از نرم افزار پکت تریسر هستید این نرم افزار یک لانسس روی گوشی شما نصب می کنه که بهش اجازه می ده که به عنوان یک مرد میانی فقط روی گوشی شما عمل کنه و پیام های HTTPS هم بتونه دیکد کنه و بخونه در حالی که این کار روی ایینترنت و مودم با شنود ارتباط تقریبا غیر ممکن و بسیار سخت است.
اما در حالت کلی حرفهاتون درسته
برای پیام های غیر ssl به راحتی به همین شیوه قابل شنوده
اما برای https حرف شما درسته و خیلی سخته، اما یک درصد احتمال وجود دارد که private key از طریق مرورگر و یا لایسنس موجود بر روی گوشی شنود شود. و با داشتن این private key به راحتی پیام ها قابل دیکد شدن هست.
کاری که تلگرام انجام داده، همین private key رو چند بار رمز میکنه که حتی اون یک درصد هم به نزدیک صفر میرسه.
خسته نباشی حتی جواب این سوال رو هم بلد نیستی و کپی کردی
تو اصلا در رابطه با امنیت که چیزی نمیدونی اینجا چی میگی؟
باشه
تو بگو تا ما یادبگیریم !
سلام
خوشحالم که قضاوتی بیطرف در مورد پیام رسان های ایرانی از کسی که اطلاعات خوبی در این زمینه دارد بروزنموده است و یک سوال ظاهرا اول بله بعد آی گپ و بعد بیسفون در این زمینه بهتر از بقیه کار کرده اند ، آیا فاصله ای که با تلگرام در این زمینه دارند خیلی زیاد است و غیر قابل دسترس و یا قابل دسترس است ؟
سلام
ممنونم
قابل دسترس است
سلام. من خواستم چیزی که نوشتین رو تست کنم. نرم افزار رو نصب کردم اما وقتی شروع به کپچر کردن می کنه دیگه سروش هیچ اطلاعاتی رو دریافت یا ارسال نمی کنه. چرا؟
سلام . clear cache کنید و مجدد امتحان کنید
سلام
این پکت کپچر فقط خود داده ارسالی رو بررسی میکنه، درحالیکه خود کانال هم کنار باید بررسی بشه!
به عنوان مثال، نرمافزار گپ درسته داره فایل json رو به صورت ساده (یا به قولی raw) ارسال میکنه، ولی از بستر SSL/TLS میفرسته که باعث میشه مشکلی پیش نیاد عملا!
ممنون از توضیحات خوبتون
بررسی جالبی بود
ممنونم
جالب و جامع بود
سپاس
یادداشت جالب بود
ممنونم
منتظر مقالات بعدی هستم
سپاس از همراهیتون
بررسی جالبی بود
ممنون از آی تی من برای انتشارش
خواهش میکنم
پاکت کپچر برنامه جالبیه یه بررسی ازش بگذارین
سلام اگر وقت بشه حتما میگذارم
جالب بود
لایک
سپاس
لاییییک داشت
ممنونم
الان تازه فهمیدم تلگرام چیه
بله امنیتش مثال زدنی نیست
خیلی خوب بود
ممنونم
این تست شما کی انجام شده؟
روی آخرین ورژن های انتشار یافته تا تاریخ هفتم خرداد معتبر هست ؟
من یکی از طرفداران پیامرسان گپ هستم و وقتی که این مطلب رو خونده شاخ دراوردم
لطفاً روی آخرین ورژن این نرم افزار هم تست کنید و جواب رو برا ایمیل کنید یا اینکه نام نرم افزاری که برای تست استفاده میکنید بگید تا خودم انجام بدم
با تشکر
دوست عزیز به تاریخ مطلب نگاه کنید
دقیقا همان زمان امتحان شده
بله الان پیامرسان گپ از ویژگی های خوب و البته امنیت بالایی برخورداره
نه هنوز گپ بدون رمز گذاریه با پاکت کپچر پیام خودم رو پیدا کردم واقعا تأسف برانگیزه
پس هنوز این مشکل رو حل نکردن !
مقاله بسیار خوبی بود
قلم بسیار راون و عالی دارید
سپاس از شما
کاش از داخلی ها هم کمی دفاع میکردی
اگر سرچی در سایت بزنید به این موضوع پی می برید
سروش و ایتا و آی گپ رو ول کن
گپ رو بچسب که واقعا عالی شده
سلام بله جدیدا خودم استفاده کردم وواقعا عالیه
بررسی جالبی بود
کاش پست رو جدیدا اپدیت میکردید
ممنون از تو دوست عزیز
به زودی اپدیت جدید هم میدم
مقاله تون یه طرف ست جناب ترابی عزیز
جوری نوشتید که من فک کردم از کارکنان تلگرام هستید !
دوست عزیز این بررسی توسط یکی از کاربران فعال در این حوزه انجام شده
و مقایسه ای کاملا بی طرف هست
آقای ترابی
نظر تون درباره پیامرسان داخلی گپ چیه؟ جدیدا خیلی امکانات اضافه کرده
پیامرسان گپ بسیار خوب عمل کرده
نسخه دسکتاپ و موبایل عالی داره، حتی میتونم بگم از تلگرام هم بهتره
به شرطیکه همیطور حفظ کیفیت بکنه و کاربر جذب کنه پیامرسان خوبیه
مقاله بسیار خوبی بود
خوشحالم مفید بوده براتون
واقعا چه وضع بدی شده
به هیچ کدومشون نمیشه اعتماد کرد
بله ولی پیامرسان های خوب هم موجود هستند
یعنی وضعشون اینقدر داغووووونه؟
سلام
الان وضعشون بهتر شده
مقاله بسیار خوب و جذابی بود
البته باید بگم که امنیت الانشون خیلی بهتر شده
ولی جای کار داره
سلام بله درست میگی
به تاریخ نوشته شدن مقاله توجه کن
با این حساب امنیت هیچ کدومشون درست نیست
چی استفاده کنیم؟
سلام
به تاریخ مقاله نگاه کنین
الان بهبودهایی داشتند
اما به نظرم پیامرسان های داخلی را درکنار اصلی ها داشته باشین
مهندس جان سایت تون عالیه
خیلی دوستش دارم
دمت گرم
پیروز و سربلند باشی
خوشحالم مفیده براتون
زنده باشین
کدومشون دسکتاپ داره و از لحاظ امکاناتی بهتره؟
ایتا به نظرم بهتره
چون پوسته تلگرامه و شبیه تلگرام
کارباهاش راحت و درعین حال لذت بخشه
ویسپی چطوره؟
خوبه
باهاش کار کردم
الان کدوم پیامرسان داخلی رو پیشنهاد میدید؟
ایتا رو بیشتر ترجیح میدم
بررسی تون عالی و به جا بود
ممنونم
سپاس
سروش یه خورده باگ هاش زیاده
ایتا رو دوست دارم
بله
ایتا هم خوبه
من آی گپ رو میپسندم
بقیه شو کار نکردم
ایتا رو هم امتحان کنید
ایتا به نظرم خوبه
نظر شما چیه؟
منم استفاده کردم
راضیم
اپ ایتا که اصلا ظرفیت پذیرش نداره نمیدونم چجوری میخوان با واتس و تلگرام مقابله کنند متاسفانه حافظه پنهان اپ سروش پلاس توی گوشی من ۴۰۰ مگ بوده که بسختی پاکش کردم ،اینو مقایسه کنید با واتس و تلگرام که حافظه پمنهان اینا به یک مگ هم نمیرسه ،البته بعدا دیگه اینقدر حافظه پنهان نداشت
قطعا مشکلات فنی بسیاری دارند
همون تلگرام و واتس اپ اول کار که بودند مشکلات بزرگتر از اینها داشتند و به مرور حل کردند
مطمئنا این اپلیکیشن های داخلی هم کم کم مشکلات رو حل میکنن و جزو تاپ ترین ها میشن
این باصطلاح پیام رسان های داخلی که هیچموقع پیام رسان نمیشن ولی خوب جیب یه چند تا آقا زاده خوب پر میشه چرا که اولین دلیلش که اینا هدفی جز هاپولی هپو کردن پول بیت المال ندارن تعدادشون هست. اگه واقعا اینا دنبال پیام رسان هستن همه اینا تبدیل بشه به یکی ، پر قئرت و با کیفیت ، دو تا تیک بیشتر نخوره ملت شاید اونم شاید استقبال کنند
سلام
حرفتون جبهه گیری داره
این برنامه ها توسط دولوپر ها و برنامه نویس هایی که بین خودمون بودن ایجاد و توسعه پیدا کردند.
پس اگر میخوایم خودمون دیده بشیم و استارتاپ مون مطرح بشه باید از خودمون شروع کنیم
باید بقیه رو حمایت کنیم تا خودمون هم دیده بشیم
اینام هیچ کدوم آقا زاده نیستن تا اونجاییکه من میدونم !!!!
سلام آقای ترابی
خوبین؟
من یه نقد بر عملکرد ضعیف پیامرسان ها دارم که اینجا می گذارم. امیدوارم که مفید باشه :
پیامرسانهای داخلی در طول قطعی اینترنت با حجم زیادی از کاربران مواجه شدند. با وجود اینکه موضوع مذکور میتوانست یک اتفاق خوب برای اپلیکیشنها باشد، اما این سرویسها به شدت عملکرد خود را از دست دادند.
یکشنبه گذشته بود که دسترسی تمام کاربران ایرانی به اینترنت جهانی قطع شد و تنها سایتها و برخی سرویسهای داخلی بودند که امکان دسترسی به آنها وجود دارد. شورای امنیت کشور بنابر صلاحدید، دستور به قطع اینترنت داده بود و در نتیجه آن میلیونها کاربر ایران هیچگونه دسترسی به سرویسهای خارجی از جمله پیامرسانهایی نظیر واتساپ، تلگرام، اینستاگرام و… نداشتند.
موضوع ارتباطات نیز در حال حاضر اغلب از بستر اینترنت انجام میشود و در طول تمام یک سال گذشته با وجود تبلیغات گسترده دولت در زمینه استفاده از پیامرسانهای داخلی، این امر چندان که باید محقق نشده بود و اغلب کاربران از سرویسهای خارجی استفاده میکردند. قطع کامل دسترسی به اینترنت باعث شد تا کاربران مجبور به استفاده از پیامرسانهای داخلی نظیر سروش، آیگپ، بله، گپ و بسیاری دیگر شوند.
از سوی دیگر این اتفاق یک چالش بزرگ برای چنین سرویسهایی به حساب میآمد و نتیجه هر چه بود، قدرت و توانایی پیامرسانهای داخلی در پاسخ به نیازهای کاربران را به آزمونی سخت میکشید.پیام رسان کاهش اقبال به مرورگر اینترنتی مایکروسافت کماکان ادامه دارد
در روزهای نخست این اتفاق بسیاری از افراد منتظر اتصال مجدد بودند و ارتباطات اینترنتی خود را محدود کرده بودند تا بعد از اتصال اینترنت، مجددا به سراغ شبکههای اجتماعی و پیامرسانهای خارجی بروند. اما با گذشت زمان و عدم اتصال اینترنت، کاربران بسیاری به سراغ پیامرسانهای داخلی آمدند. افزایش ترافیک در این پیامرسانها با وجود اینکه میتوانست یک موضوع هیجانانگیز برای چنین سرویسهایی باشد، اما تبدیل به یک واقعه تلخ شد.
با ورود حجم زیاد کاربران به پیام رسانهایی نظیر سروش، بله، آیگپ و… عملکرد این سرویسها رفته رفته کاهش یافت و به حدی رسید که تا ساعتها امکان بروزرسانی پیامها وجود نداشت. حتی گاهی در بین یک چت ساده، برخی پیامها ارسال نمیشدند و گاهی هم یک پیامی که چند دقیقه پیش فرستاده شده بود، بین پیامهای بعدی ارسال میشد. ارسال عکس و فیلم نیز که مشکلات عدیدهای را همراه داشت.
عدم اتصال، سرعت بسیار پایین، ناکارآمد بودن و بسیاری از مشکلات این قبیل، باعث شد که کاربران از سرویسهای مذکور دلسرد شوند و در واقع عدم توانایی پیامرسانهای داخلی در شرایطی که پیش آمده بود، کاملا مشهود بود. البته باید توجه داشت که این سرویسها در ساعات کم ترافیک نظیر ساعتهای ۳ بامداد تا ۷ صبح از عملکرد مناسبی برخوردار بودند و میشد در این ساعات به آنها اعتماد کرد. البته باید بدین نکته نیز توجه داشت که این سرویسها قبل از این اتفاق که بار ترافیکی بسیار کمتری روی آنها بود اغلب از توانایی مناسبی برخوردار بودند و حتی از طریق آیگپ امکان تماس تصویری نیز وجود داشت.
اما بار ترافیکی شدیدی که از راه رسید، عملا آنها را زیر فشار قرار داد. در طول این مدت با تستهای مداومی که انجام دادیم امکان تماس تصویری نیز در پیامرسان آیگپ وجود نداشت و در صورت برقراری نیز عملکرد کلی به هیچ وجه در حدی نبود که بتوان از آن استفاده کرد.
در این بین برخی از پیامرسانهای داخلی برای رفع مشکلات موجود و بهبود نسبی عملکرد اقدام به غیرفعال کردن برخی قابلیتهای خود کردند تا بلکه فشار کمتری را به دوش بکشند و البته خدمات بهتری ارائه کنند. از دیگر مشکلاتی که به چشم میخورد عدم ارسال پیامک فعالسازی در زمان ثبت نام بود که خود راه ورود به برخی پیام رسانها را میبست.
بسیار عالی بود
ممنونم
خودتو خسته نکنی این همه مطلب میزاری
مرسی از تو ترامپ جان
همین که به فارسی حرف میزنی معلومه خودتو باختی
جالب بود
🙂
مرسی از شما
ممنون
مرسی از توجه شما
چرا باید از داخلی ها استفاده کنیم؟!!! من دلیلی ندارم
من حرفی ندارم
به نظرتون جایگزین مفید برای اینستاگرام چیه؟
هورسا – پاتوق – نزدیکا – باهم – ویسگون
اوووو چقدر باگ دارن
بله ولی الان خیلی بهتر شدن
تلگرام بازم از همه شون بهتره
بله
پس همون تلگرام رو استفاده کنیم بهتره
داخلی ها هم مشکلات خودشونو حل کردند
حتما امتحان کنین
بررسی کامل و جامعی بود
دمتون گرم
ممنون از توجه شما
به نظر شما پیامرسان های داخلی رو میتونیم برای بازاریابی محتوا استفاده کنیم؟
بله. قطعا پتانسیل خوبیه برای استفاده
توصیه میکنم استفاده کنید
هرچند تعامل هنوز پایینه ولی ارزششو داره
بالونت چطوره؟
پیامرسان بسیار خوبی برای تیم ها و جلسات انلاین
توصیه میکنم به استفاده ازش
بازم نا امن هستند؟
سلام
بهبود های خیلی بهتری داشتند
پیشنهاد میکنم ایتا رو حتما چک کنید
ههه
این چرت و پرتا چیه با برنامه packet زدید خسته نباشید خب این برنامه داخل همون گوشی یه گواهی نصب میکنه و میتونه داده ها رو ببینه
اگه راست میگی در خارج از گوشی این کار رو انجام بده
البته فقط سروش همچنین مشکلی داره
و اینکه این همه حرف از امنیت زدید و حتی گفتی ایتا اصلا امنیت نداره بیا یه شماره رو هک کن ببینم میتونی
اصلا چیزی در رابطه با امنیت میدونی؟
تو که بلدی بیشتر بگو تا یاد بگیریم
سلام مقاله خوبی بود.
گرچه شما در کپچری که انجام دادید گفتید ایتا بدون رمزگذاری ولی تا جایی که من کپچر کردم ایتا یک لایه اول دیتارو فشرده میکنه بعد رمزگزاری میکنه نهایت 64base میکنه بعد ارسال میکنه که ساخت سلف ازش رو بسیار سخت میکنه همچنین این ریکویست ها تنها زمانی استفاده میشه که شما بخواید سلف ایجاد کنید( یعنی اکانت رو هوشمند کنید تا اتومات بعضی کارهارو بکنه) و کاربری به ریکویست های کاربر دیگر دسترسی ندارد و برای اینکار نیاز مند توکن (شناسه یکتای کاربری) ارسالی در هدر است که ایتا اون رو ارسال میکنه
بله در قسمت ارسال از یک رمزگذاری استاندارد معروف استفاده میکنه که اونو قابل نفوذ میکنه همچنین قسمتای تراکنش بانکی بدون رمزگذاری کار میکنه که امنیت رو کم میکنه و برای فیشینگ کردن میشه از اون ریکویستا استفاده کرد
البته همین امروز صبح یک کار خوبی که بله انجام داد این بود که ریکویستای انبوه ای که به صورت http بود رو به وبسوکت تغییر داد که هم در سرعت تاثیر گذار تره هم امنیت رو برای ساخت سلف افزایش میده
ممنونم از توضیحات خوبت سروش جان
البته این مطلب مال چندین سال قبل هست
احتمال زیاد الان خیلی از ساختار پیامرسان های داخلی مثل خارجی ها تغییر کرده و حرف های شما درست هست