تولز لند
ابزار های آنلاین

آب گل آلود پیامرسان های داخلی – کدامیک امن ترند؟

بررسی امنیت پیامرسان های ایرانی : بیسفون، سروش، آی گپ، ایتا، گپ و بله ( ارسالی کاربران ) - نویسنده : امیر هاونگی

60 39

بازهم وبگردی و بازهم مطالب جالب و جذابی که حیف اومد براتون نگذارم. امروز یه بررسی جالب از امنیت پیامرسان های بومی دیدم که امیر هاونگی زحمت اون رو کشیده، با اجازه و رضایت اش این بررسی را اینجا منتشر می کنم. در ادامه همراه با آی تی من باشید.

پیشنهادی :

این روزا بحث پیام رسان های ایرانی و امنیت شون داغ هست. منم به نوبه خودم اومدم پیام رسانهای مختلف ایرانی رو بررسی کردم و از لحاظ امنیت و رمزنگاری نقاط قوت و ضعفشون رو ذکر کردم. لازم به ذکره که از نرم افزار packet capture استفاده کردم که از تکنیک man-in-the-middle استفاده می‌کنه؛ یعنی اینکه هر فردی میتونه به این اطلاعات دسترسی داشته باشه.

۱) پیام رسان بیسفون

همون طور که در عکس می‌بینید، این پیام رسان، پیام‌های ارسالی رو رمز می کنه و تا جای خوبی غیرقابل decode شدن هست. اما یه مشکل داره و اون اینه که عکس های “پروفایل” مخاطبین شما در بیسفون میتونه به راحتی توسط هکرها مشاهده بشن.

۲) پیام رسان سروش

در این نرم افزار پیام ها رمزنگاری می‌شوند اما از رمزنگاری های معروف استفاده شده است و روش رمزنگاری نیز در پیام برگشتی از سرور ذکر می شود!

مشکل بزرگی که این روزها در خبرها نیز مشاهده کرده اید این است که شماره های افراد به راحتی قابل رویت است. کافی است در کانالی که قابلیت ارسال پیام دارد عضو شوید، شماره ادمین آن کانال رو می‌بینید! همچنین به فردی که شماره او را ندارید با استفاده از آیدی اگر به او پیام دهید می توانید شماره او را مشاهده کنید.

دلیل این امر این است که سروش، یونیک آیدی هر فرد را شماره او قرار داده است اما پیام رسانهایی مانند تلگرام از user_id خاص خود استفاده می کند و به شماره او کاری ندارد!

۳) پیام رسان آی گپ

در این پیام رسان پیام های ارسالی، تا حد خوبی رمزنگاری و غیرقابل رویت هستند. پیام های دریافتی از سمت سرور هم نکته خاصی برای سوءاستفاده ندارند. اما بهتر بود که کل packet رمزنگاری شود نه فقط پیام ارسالی توسط ما.

۴) پیام رسان ایتاء(نسخه بتا)

واقعا حرفی برای گفتن نمیمونه وقتی میبینیم که پیام ارسالی بدون هیچ رمزنگاری ای مستقیم قرار گرفته و می شود آن را به راحتی ردیابی کرد.بحث امنیت خیلی جدی تر می شود وقتی که میبینیم اگر ما رمز بانکی خود را برای پدر خود در پیام رسان ارسال کنیم، هر هکر مبتدی ای میتواند این پیام را به راحتی ببیند و به راحتی تمام اطلاعات شخصی ما را متوجه شود. ان شاءالله که فقط در نسخه بتا این نرم افزار این مشکل وجود دارد و به زودی در نسخه اصلی برطرف کنند.

۵) پیام رسان گپ

در این پیام رسان مانند ایتاء، پیام فرستاده شده به راحتی توسط هر هکری قابل رویت است.

۶) پیام رسان بله

این پیام رسان، رمزنگاری را واقعا به شکل خیلی خوبی انجام می دهد. حتی packet ها نیز رمزنگاری شده اند و به هیچ وجه قابل رویت نیستند. از این پیام رسان می توان در تراکنشات بانکی نیز استفاده کرد و این حد از امنیت انتظار می رود.

اینم حسن ختام بررسی = تلگرام

به عنوان نتیجه اینکه نرم افزار های بله و آی گپ و بیسفون بر روی رمزنگاری پیام های ارسالی کار کرده اند که پیام رسان بله خیلی قوی تر کار کرده. پیام رسان سروش هم رمزنگاری کرده، اما رمزنگاری های موجود و معروف توسط همه استفاده کرده. همچنین گافی داده که شماره های همه قابل رویت است!

سایر پیام رسان های گپ و ایتا متاسفانه هیچ اقدامی در زمینه رمزنگاری پیام ها انجام نداده و امنیت واقعا پایین دارند.


به پایان این مقاله رسیدیم. پیشنهاد میکنم مطالب ارسالی دیگر کاربران را از طریق لینک زیر مطالعه کنید.

مطالب دیگر کاربران

نظر شما درباره مطلب امیر هاونگی چیست ؟ نظرات خود را درباره این مقاله به اشتراک بگذارید. همچینین یادتون نره که به این مقاله میتونید امتیاز بدید !

به مقاله امیر هاونگی رای بدهید
۷۳%

چه امتیازی به این مقاله می دهید ؟

به مقاله امیر هاونگی رای بدهید

  • گیرایی
  • سلیس و روان بودن
  • رسایی مطلب
  • جذاب بودن
منبع امیر هاونگی
از طريق جلال ترابی آی تی من
از اتفاقات جدید زودتر از همه باخبر شو !
از اتفاقات جدید زودتر از همه باخبر شو !
توی خبرنامه سایت ثبت نام کن و جدید ترین اخبار را توی ایمیلت دریافت کن !
شما هرزمانی که بخواهی میتوانی این خبرنامه را غیر فعال کنی !

60
دیدگاه بگذارید

avatar
29 فعالیت های نظردهی
31 واکنش به پاسخ دهی
1 دنبال کننده گان
 
بیشترین نظر دیده شده
داغ ترین بخش نظرات
30 نویسندگان نظرات
Ali1300vvجلال ترابیمزدکاهورازهرا آخرین نظرات ارسالی
  عضویت  
جدید ترین قدیمی ترین بیشتری بازدید
هشدار به وسیله :
اعلاء
مهمان عزیز
اعلاء

واقعا جای تاسف داره پیامرسان های داخلی که این همه بی تفاوتن

جلال ترابی
مدیر

قصدم از انتشار آن ، تصحیح و توجه مدیران این پیامرسان هاست

سمانه
مهمان عزیز
سمانه

بررسی خوبی بود

جلال ترابی
مدیر

خواهش میکنم

آزاده
مهمان عزیز
آزاده

لطفا بررسی پیامرسان های داخلی رو هم قرار بدید
ممنونم

جلال ترابی
مدیر

حتما چشم

ابراهیم حاتمی
مهمان عزیز
ابراهیم حاتمی

خیلی جالب بود
حالا نظر شما بر استفاده از کدوم پیامرسان هاست؟

جلال ترابی
مدیر

بله ، بیسفون
به نظرم بهترن
به زودی یک بررسی جامع میگذارم

رضا باقی
مهمان عزیز
رضا باقی

خیلی جای تاسف داره

جلال ترابی
مدیر

بله متاسفانه

بازار سازی
مهمان عزیز
بازار سازی

یه نقد درباره پیامرسان های بومی بگذارین
تا بدونیم کدومو استفاده کنیم

جلال ترابی
مدیر

حتما دوست عزیز

قرمزی
مهمان عزیز
قرمزی

ایتا خیلی باحاله !

جلال ترابی
مدیر

بله خیلی باحاله 🙁

bale
مهمان عزیز
bale

فقط بله
چند وقتی میشه دارمش
عالیه عالیییییی

جلال ترابی
مدیر

خواهش میکنم

ابی
مهمان عزیز
ابی

خیلی بررسی خوبی بود ممنون از شما بابت بازنشر آن

جلال ترابی
مدیر

سپاس از همراهی شما

علیرضا
مهمان عزیز
علیرضا

با این تفاسیر, اگر امروز وزارت اطلاعات بخواد به سرور دسترسی پیدا کند و بتواند, امکان دسترسی به پیام ها وجود دارد؟

جلال ترابی
مدیر

بله اصولا دسترسی میدن

احمدرضا
مهمان عزیز
احمدرضا

ادمین(مدیر) هر پیام رسان می تواند به همه اطلاعات دسترسی پیدا کند، وزارت اطلاعات یا هر نهاد دیگر اگر بخواهد دسترسی پیدا کند باید با ادمین آن پیام رسان مذاکرات لازم را انجام دهد که آیا آن ادمین اطلاعات را در اختیار آن نهاد قرار دهد یا خیر

جلال ترابی
مدیر

بله

ناصر
مهمان عزیز
ناصر

یعنی عملا هیچ گونه حفظ حریم خصوصی معنا نخواهد داشت. درسته؟

جلال ترابی
مدیر

امنیت کم و بیش دارن

کریم محمودی
مهمان عزیز
کریم محمودی

شکی نیست که با این اوضاع و نقایص امنیتی آمار سواستفاده‌ها و باجگیری‌ها و مشکلات اجتماعی بالاتر خواهد رفت… این است ثمره عمل بدون علم!

جلال ترابی
مدیر

نمیدونم چی بگم:(

رضا جالبی
مهمان عزیز
رضا جالبی

سلام لطفا امنیت تلگرام رو با بله و آی گپ مقایسه کنید.

جلال ترابی
مدیر

بله حتما

محمدی
مهمان عزیز
محمدی

تا یه جایی حرف هاتون درسته اما نکته ای حواستون نبوده شما در حال استفاده از نرم افزار پکت تریسر هستید این نرم افزار یک لانسس روی گوشی شما نصب می کنه که بهش اجازه می ده که به عنوان یک مرد میانی فقط روی گوشی شما عمل کنه و پیام های HTTPS هم بتونه دیکد کنه و بخونه در حالی که این کار روی ایینترنت و مودم با شنود ارتباط تقریبا غیر ممکن و بسیار سخت است.
اما در حالت کلی حرفهاتون درسته

جلال ترابی
مدیر

برای پیام های غیر ssl به راحتی به همین شیوه قابل شنوده
اما برای https حرف شما درسته و خیلی سخته، اما یک درصد احتمال وجود دارد که private key از طریق مرورگر و یا لایسنس موجود بر روی گوشی شنود شود. و با داشتن این private key به راحتی پیام ها قابل دیکد شدن هست.
کاری که تلگرام انجام داده، همین private key رو چند بار رمز میکنه که حتی اون یک درصد هم به نزدیک صفر میرسه.

میرسعید
مهمان عزیز
میرسعید

سلام
خوشحالم که قضاوتی بیطرف در مورد پیام رسان های ایرانی از کسی که اطلاعات خوبی در این زمینه دارد بروزنموده است و یک سوال ظاهرا اول بله بعد آی گپ و بعد بیسفون در این زمینه بهتر از بقیه کار کرده اند ، آیا فاصله ای که با تلگرام در این زمینه دارند خیلی زیاد است و غیر قابل دسترس و یا قابل دسترس است ؟

جلال ترابی
مدیر

سلام
ممنونم

قابل دسترس است

حسین قاسمی
مهمان عزیز
حسین قاسمی

سلام. من خواستم چیزی که نوشتین رو تست کنم. نرم افزار رو نصب کردم اما وقتی شروع به کپچر کردن می کنه دیگه سروش هیچ اطلاعاتی رو دریافت یا ارسال نمی کنه. چرا؟

جلال ترابی
مدیر

سلام . clear cache کنید و مجدد امتحان کنید

امنیت کار
مهمان عزیز
امنیت کار

سلام
این پکت کپچر فقط خود داده ارسالی رو بررسی میکنه، درحالیکه خود کانال هم کنار باید بررسی بشه!
به عنوان مثال، نرم‌افزار گپ درسته داره فایل json رو به صورت ساده (یا به قولی raw) ارسال میکنه، ولی از بستر SSL/TLS میفرسته که باعث میشه مشکلی پیش نیاد عملا!

جلال ترابی
مدیر

ممنون از توضیحات خوبتون

نازنین
مهمان عزیز
نازنین

بررسی جالبی بود

جلال ترابی
مدیر

ممنونم

نوروزی
مهمان عزیز
نوروزی

جالب و جامع بود

جلال ترابی
مدیر

سپاس

نازنین
مهمان عزیز
نازنین

یادداشت جالب بود

جلال ترابی
مدیر

ممنونم

ایرون
مهمان عزیز
ایرون

منتظر مقالات بعدی هستم

جلال ترابی
مدیر

سپاس از همراهیتون

ahoo
مهمان عزیز
ahoo

بررسی جالبی بود
ممنون از آی تی من برای انتشارش

جلال ترابی
مدیر

خواهش میکنم

آرتان
مهمان عزیز
آرتان

پاکت کپچر برنامه جالبیه یه بررسی ازش بگذارین

جلال ترابی
مدیر

سلام اگر وقت بشه حتما میگذارم

جهرمی
مهمان عزیز
جهرمی

جالب بود
لایک

جلال ترابی
مدیر

سپاس

زهرا
مهمان عزیز
زهرا

لاییییک داشت

جلال ترابی
مدیر

ممنونم

اهورا
مهمان عزیز
اهورا

الان تازه فهمیدم تلگرام چیه

جلال ترابی
مدیر

بله امنیتش مثال زدنی نیست

مزدک
مهمان عزیز
مزدک

خیلی خوب بود

جلال ترابی
مدیر

ممنونم

Ali1300vv
مهمان عزیز
علیرضا

این تست شما کی انجام شده؟
روی آخرین ورژن های انتشار یافته تا تاریخ هفتم خرداد معتبر هست ؟
من یکی از طرفداران پیام‌رسان گپ هستم و وقتی که این مطلب رو خونده شاخ دراوردم
لطفاً روی آخرین ورژن این نرم افزار هم تست کنید و جواب رو برا ایمیل کنید یا اینکه نام نرم افزاری که برای تست استفاده میکنید بگید تا خودم انجام بدم
با تشکر

جلال ترابی
مدیر

دوست عزیز به تاریخ مطلب نگاه کنید
دقیقا همان زمان امتحان شده
بله الان پیامرسان گپ از ویژگی های خوب و البته امنیت بالایی برخورداره

Ali1300vv
مهمان عزیز
علیرضا

نه هنوز گپ بدون رمز گذاریه با پاکت کپچر پیام خودم رو پیدا کردم واقعا تأسف برانگیزه

جلال ترابی
مدیر

پس هنوز این مشکل رو حل نکردن !