آی تی من
همراه با دنیای فناوری و رشد کسب و کارها

آب گل آلود پیامرسان های داخلی – کدامیک امن ترند؟

بررسی امنیت پیامرسان های ایرانی : بیسفون، سروش، آی گپ، ایتا، گپ و بله ( ارسالی کاربران ) - نویسنده : امیر هاونگی

128

بازهم وبگردی و بازهم مطالب جالب و جذابی که حیف اومد براتون نگذارم. امروز یه بررسی جالب از امنیت پیامرسان های بومی دیدم که امیر هاونگی زحمت اون رو کشیده، با اجازه و رضایت اش این بررسی را اینجا منتشر می کنم. در ادامه همراه با آی تی من باشید.

این روزا بحث پیام رسان های ایرانی و امنیت شون داغ هست. منم به نوبه خودم اومدم پیام رسانهای مختلف ایرانی رو بررسی کردم و از لحاظ امنیت و رمزنگاری نقاط قوت و ضعفشون رو ذکر کردم. لازم به ذکره که از نرم افزار packet capture استفاده کردم که از تکنیک man-in-the-middle استفاده می‌کنه؛ یعنی اینکه هر فردی میتونه به این اطلاعات دسترسی داشته باشه.

۱) پیام رسان بیسفون

همون طور که در عکس می‌بینید، این پیام رسان، پیام‌های ارسالی رو رمز می کنه و تا جای خوبی غیرقابل decode شدن هست. اما یه مشکل داره و اون اینه که عکس های “پروفایل” مخاطبین شما در بیسفون میتونه به راحتی توسط هکرها مشاهده بشن.

۲) پیام رسان سروش

در این نرم افزار پیام ها رمزنگاری می‌شوند اما از رمزنگاری های معروف استفاده شده است و روش رمزنگاری نیز در پیام برگشتی از سرور ذکر می شود!

مشکل بزرگی که این روزها در خبرها نیز مشاهده کرده اید این است که شماره های افراد به راحتی قابل رویت است. کافی است در کانالی که قابلیت ارسال پیام دارد عضو شوید، شماره ادمین آن کانال رو می‌بینید! همچنین به فردی که شماره او را ندارید با استفاده از آیدی اگر به او پیام دهید می توانید شماره او را مشاهده کنید.

دلیل این امر این است که سروش، یونیک آیدی هر فرد را شماره او قرار داده است اما پیام رسانهایی مانند تلگرام از user_id خاص خود استفاده می کند و به شماره او کاری ندارد!

۳) پیام رسان آی گپ

در این پیام رسان پیام های ارسالی، تا حد خوبی رمزنگاری و غیرقابل رویت هستند. پیام های دریافتی از سمت سرور هم نکته خاصی برای سوءاستفاده ندارند. اما بهتر بود که کل packet رمزنگاری شود نه فقط پیام ارسالی توسط ما.

۴) پیام رسان ایتاء(نسخه بتا)

واقعا حرفی برای گفتن نمیمونه وقتی میبینیم که پیام ارسالی بدون هیچ رمزنگاری ای مستقیم قرار گرفته و می شود آن را به راحتی ردیابی کرد.بحث امنیت خیلی جدی تر می شود وقتی که میبینیم اگر ما رمز بانکی خود را برای پدر خود در پیام رسان ارسال کنیم، هر هکر مبتدی ای میتواند این پیام را به راحتی ببیند و به راحتی تمام اطلاعات شخصی ما را متوجه شود. ان شاءالله که فقط در نسخه بتا این نرم افزار این مشکل وجود دارد و به زودی در نسخه اصلی برطرف کنند.

۵) پیام رسان گپ

در این پیام رسان مانند ایتاء، پیام فرستاده شده به راحتی توسط هر هکری قابل رویت است.

۶) پیام رسان بله

این پیام رسان، رمزنگاری را واقعا به شکل خیلی خوبی انجام می دهد. حتی packet ها نیز رمزنگاری شده اند و به هیچ وجه قابل رویت نیستند. از این پیام رسان می توان در تراکنشات بانکی نیز استفاده کرد و این حد از امنیت انتظار می رود.

اینم حسن ختام بررسی = تلگرام

به عنوان نتیجه اینکه نرم افزار های بله و آی گپ و بیسفون بر روی رمزنگاری پیام های ارسالی کار کرده اند که پیام رسان بله خیلی قوی تر کار کرده. پیام رسان سروش هم رمزنگاری کرده، اما رمزنگاری های موجود و معروف توسط همه استفاده کرده. همچنین گافی داده که شماره های همه قابل رویت است!

سایر پیام رسان های گپ و ایتا متاسفانه هیچ اقدامی در زمینه رمزنگاری پیام ها انجام نداده و امنیت واقعا پایین دارند.


به پایان این مقاله رسیدیم. نظر شما درباره مطلب امیر هاونگی چیست ؟ نظرات خود را درباره این مقاله به اشتراک بگذارید. همچینین یادتون نره که به این مقاله میتونید امتیاز بدید !

منبع مقاله امیر هاونگی
نوشته شده توسط جلال ترابی آی تی من
دیگه چه خبر ؟

128
دیدگاه بگذارید

avatar
63 فعالیت های نظردهی
65 واکنش به پاسخ دهی
1 دنبال کنندگان
 
بیشترین نظر دیده شده
داغ ترین بخش نظرات
60 نویسندگان نظرات
سیمامحمودناهید زمانیمیلادرجبی آخرین نظرات ارسالی
  عضویت  
جدیدترین قدیمی ترین بیشترین بازدید
هشدار از طریق:
اعلاء
شما
اعلاء

واقعا جای تاسف داره پیامرسان های داخلی که این همه بی تفاوتن

سمانه
شما
سمانه

بررسی خوبی بود

آزاده
شما
آزاده

لطفا بررسی پیامرسان های داخلی رو هم قرار بدید
ممنونم

ابراهیم حاتمی
شما
ابراهیم حاتمی

خیلی جالب بود
حالا نظر شما بر استفاده از کدوم پیامرسان هاست؟

رضا باقی
شما
رضا باقی

خیلی جای تاسف داره

بازار سازی
شما
بازار سازی

یه نقد درباره پیامرسان های بومی بگذارین
تا بدونیم کدومو استفاده کنیم

قرمزی
شما
قرمزی

ایتا خیلی باحاله !

bale
شما
bale

فقط بله
چند وقتی میشه دارمش
عالیه عالیییییی

ابی
شما
ابی

خیلی بررسی خوبی بود ممنون از شما بابت بازنشر آن

علیرضا
شما
علیرضا

با این تفاسیر, اگر امروز وزارت اطلاعات بخواد به سرور دسترسی پیدا کند و بتواند, امکان دسترسی به پیام ها وجود دارد؟

احمدرضا
شما
احمدرضا

ادمین(مدیر) هر پیام رسان می تواند به همه اطلاعات دسترسی پیدا کند، وزارت اطلاعات یا هر نهاد دیگر اگر بخواهد دسترسی پیدا کند باید با ادمین آن پیام رسان مذاکرات لازم را انجام دهد که آیا آن ادمین اطلاعات را در اختیار آن نهاد قرار دهد یا خیر

ناصر
شما
ناصر

یعنی عملا هیچ گونه حفظ حریم خصوصی معنا نخواهد داشت. درسته؟

کریم محمودی
شما
کریم محمودی

شکی نیست که با این اوضاع و نقایص امنیتی آمار سواستفاده‌ها و باجگیری‌ها و مشکلات اجتماعی بالاتر خواهد رفت… این است ثمره عمل بدون علم!

رضا جالبی
شما
رضا جالبی

سلام لطفا امنیت تلگرام رو با بله و آی گپ مقایسه کنید.

محمدی
شما
محمدی

تا یه جایی حرف هاتون درسته اما نکته ای حواستون نبوده شما در حال استفاده از نرم افزار پکت تریسر هستید این نرم افزار یک لانسس روی گوشی شما نصب می کنه که بهش اجازه می ده که به عنوان یک مرد میانی فقط روی گوشی شما عمل کنه و پیام های HTTPS هم بتونه دیکد کنه و بخونه در حالی که این کار روی ایینترنت و مودم با شنود ارتباط تقریبا غیر ممکن و بسیار سخت است.
اما در حالت کلی حرفهاتون درسته

میرسعید
شما
میرسعید

سلام
خوشحالم که قضاوتی بیطرف در مورد پیام رسان های ایرانی از کسی که اطلاعات خوبی در این زمینه دارد بروزنموده است و یک سوال ظاهرا اول بله بعد آی گپ و بعد بیسفون در این زمینه بهتر از بقیه کار کرده اند ، آیا فاصله ای که با تلگرام در این زمینه دارند خیلی زیاد است و غیر قابل دسترس و یا قابل دسترس است ؟

حسین قاسمی
شما
حسین قاسمی

سلام. من خواستم چیزی که نوشتین رو تست کنم. نرم افزار رو نصب کردم اما وقتی شروع به کپچر کردن می کنه دیگه سروش هیچ اطلاعاتی رو دریافت یا ارسال نمی کنه. چرا؟

امنیت کار
شما
امنیت کار

سلام
این پکت کپچر فقط خود داده ارسالی رو بررسی میکنه، درحالیکه خود کانال هم کنار باید بررسی بشه!
به عنوان مثال، نرم‌افزار گپ درسته داره فایل json رو به صورت ساده (یا به قولی raw) ارسال میکنه، ولی از بستر SSL/TLS میفرسته که باعث میشه مشکلی پیش نیاد عملا!

نازنین
شما
نازنین

بررسی جالبی بود

نوروزی
شما
نوروزی

جالب و جامع بود

نازنین
شما
نازنین

یادداشت جالب بود

ایرون
شما
ایرون

منتظر مقالات بعدی هستم

ahoo
شما
ahoo

بررسی جالبی بود
ممنون از آی تی من برای انتشارش

آرتان
شما
آرتان

پاکت کپچر برنامه جالبیه یه بررسی ازش بگذارین

جهرمی
شما
جهرمی

جالب بود
لایک

زهرا
شما
زهرا

لاییییک داشت

اهورا
شما
اهورا

الان تازه فهمیدم تلگرام چیه

مزدک
شما
مزدک

خیلی خوب بود

علیرضا
شما
علیرضا

این تست شما کی انجام شده؟
روی آخرین ورژن های انتشار یافته تا تاریخ هفتم خرداد معتبر هست ؟
من یکی از طرفداران پیام‌رسان گپ هستم و وقتی که این مطلب رو خونده شاخ دراوردم
لطفاً روی آخرین ورژن این نرم افزار هم تست کنید و جواب رو برا ایمیل کنید یا اینکه نام نرم افزاری که برای تست استفاده میکنید بگید تا خودم انجام بدم
با تشکر

ناهید کردستانی
شما
ناهید کردستانی

مقاله بسیار خوبی بود
قلم بسیار راون و عالی دارید

مائده
شما
مائده

کاش از داخلی ها هم کمی دفاع میکردی

میلاد
شما
میلاد

سروش و ایتا و آی گپ رو ول کن
گپ رو بچسب که واقعا عالی شده

حمیدرضا
شما
حمیدرضا

بررسی جالبی بود
کاش پست رو جدیدا اپدیت میکردید

عارف نژاد
شما
عارف نژاد

مقاله تون یه طرف ست جناب ترابی عزیز
جوری نوشتید که من فک کردم از کارکنان تلگرام هستید !

رها
شما
رها

آقای ترابی
نظر تون درباره پیامرسان داخلی گپ چیه؟ جدیدا خیلی امکانات اضافه کرده

نادیا
شما
نادیا

مقاله بسیار خوبی بود

نازنین
شما
نازنین

واقعا چه وضع بدی شده
به هیچ کدومشون نمیشه اعتماد کرد

سلامی
شما
سلامی

یعنی وضعشون اینقدر داغووووونه؟

سهیل
شما
سهیل

مقاله بسیار خوب و جذابی بود
البته باید بگم که امنیت الانشون خیلی بهتر شده
ولی جای کار داره

زهرا
شما
زهرا

با این حساب امنیت هیچ کدومشون درست نیست
چی استفاده کنیم؟

ستاره
شما
ستاره

مهندس جان سایت تون عالیه
خیلی دوستش دارم
دمت گرم
پیروز و سربلند باشی

سیروس
شما
سیروس

کدومشون دسکتاپ داره و از لحاظ امکاناتی بهتره؟

ماهان
شما
ماهان

ویسپی چطوره؟

محسن
شما
محسن

الان کدوم پیامرسان داخلی رو پیشنهاد میدید؟

شیدا
شما
شیدا

بررسی تون عالی و به جا بود
ممنونم

CharlesTaila
شما
CharlesTaila

سروش یه خورده باگ هاش زیاده
ایتا رو دوست دارم

DennisNat
شما
DennisNat

من آی گپ رو میپسندم
بقیه شو کار نکردم

AnnaDausy
شما
AnnaDausy

ایتا به نظرم خوبه
نظر شما چیه؟

نازی
شما
نازی

اپ ایتا که اصلا ظرفیت پذیرش نداره نمیدونم چجوری میخوان با واتس و تلگرام مقابله کنند متاسفانه حافظه پنهان اپ سروش پلاس توی گوشی من ۴۰۰ مگ بوده که بسختی پاکش کردم ،اینو مقایسه کنید با واتس و تلگرام که حافظه پمنهان اینا به یک مگ هم نمیرسه ،البته بعدا دیگه اینقدر حافظه پنهان نداشت

ناصر
شما
ناصر

این باصطلاح پیام رسان های داخلی که هیچموقع پیام رسان نمیشن ولی خوب جیب یه چند تا آقا زاده خوب پر میشه چرا که اولین دلیلش که اینا هدفی جز هاپولی هپو کردن پول بیت المال ندارن تعدادشون هست. اگه واقعا اینا دنبال پیام رسان هستن همه اینا تبدیل بشه به یکی ، پر قئرت و با کیفیت ، دو تا تیک بیشتر نخوره ملت شاید اونم شاید استقبال کنند