یازده برنامه پیام‌رسان ناامن موبایل و رایانه (بخش دوم)

در این گزارش قصد معرفی یازده برنامه ارسال و دریافت پیغام یا اصطلاحاً پیام‌رسان موبایل و رایانه را داریم که در بخش اول که پیشتر منتشر شد، به معرفی شش برنامه بعنوان ضعیف‌ترین ها پرداختیم و در این بخش پنج نرم افزار دیگر که همچنان ناامن شناخته شده اند ولی از امتیاز نسبتاً بیشتری نسبت به موارد قبلی برخوردارند را معرفی مینماییم که اغلب آنها از پراستفاده ترین برنامه ها میباشند. همانطور که پیشتر نیز عنوان شد، ملاک ارزیابی این برنامه ها هفت معیار از سوی EFF یا بنیاد حریم الکترونیکی میباشد که این 11 برنامه‌ بر همین اساس دسته‌بندی شده‌اند:

1-      آیا پیغامهای انتقالی کدگذاری میگردد؟

2-      آیا پیغامهای انتقالی به نحوی کدگذاری میگردد که حتی سرویس دهنده هم به آنها دسترسی داشته باشد؟

3-      آیا امکان احراز هویت واقعی کاربران وجود دارد؟

4-      آیا سرویس‌دهنده از فناوری PFS یا اختفای کامل پیام (perfect forward secrecy)، که بواسطه آن پیغامهای کدگذاری انتقالی بصورت موقت معتبر و قابل کدبرداری و ترجمه میباشند تا کدهای سرقتی قابل خواندن نباشند.

5-      آیا کد سرویس بصورت اوپن‌سورس برای تحلیل و بررسی کارشناسان عام موجود است؟

6-      آیا فناوری‌ها و فرآیندهای کدگذاری مورد استفاده بصورت مستند موجود میباشند؟

7-      آیا طی یک سال اخیر بررسی امنیتی دقیق و مستقلی برای این سرویس صورت گرفته است؟

این هفت معیار برای ارزیابی ابزارهای پیام‌رسانی در ارائه بهترین یا ضعیف‌ترین امنیت را در مقابل نفوذ هکرها و سودجویی‌های مجرمین سایبری مورد استفاده قرار گرفته است. لازم به ذکر است نه بنیاد حریم الکترونیکی و نه شرکت کسپرسکی رسماً برنامه‌های ذکر شده را محکوم یا تأیید نمی‌نمایند و تنها به این موضوع اشاره دارد که چه تعداد از معیارهای استاندارد ذکر شده در برنامه‌های بررسی شده لحاظ شده است.

(برای مطالعه بخش اول این گزارش به این صفحه مراجعه کنید.)

سومین گروه برنامه‌های ناامن: دو امتیاز

اسنپ چت یا SnapChat

SnapChat، برنامه اشتراک‌گذاری موقت تصاویر و ویدئو دارای دو امتیاز در این ارزیابی میباشد، یکی برای کدگذاری ضمن انتقال که بلافاصله پس از ارسال از سوی فرستنده بسوی گیرنده و از طریق سرورهای SnapChat صورت میپذیرد. و امتیاز دوم به انجام یک بررسی کلی امنیتی که سال گذشته این شرکت انجام داده است. نکته قابل توجه در مورد این برنامه موقت بودن زمان به اشتراک گذاری تصاویر و ویدئوهاست که مدت زمان آن همانند کاربر بیننده توسط ارسال کننده مشخص میگردد و علیرغم اینکه کاربر قرار است برای آن مدت زمان تنها قادر به مشاهده آن تصویر باشد، ولی ذخیره آن با استفاده از امکان PrintScreen میسر بوده و حتی برنامه هایی نیز برای ذخیره مستقیم تصاویر این برنامه منتشر شده اند که این امر ممکن است امنیت داده‌های ارسال‌کننده هایی که هنوز از این ضعف برنامه مطلع نیستند را به مخاطره بیاندازد.

هنگ-اَوتز گوگل (Google’s Hangouts)

Hangouts را میتوان یکی از سه نرم افزار محبوب پیام‌رسانی از بین این برنامه‌های مورد ارزیابی برشمرد. این برنامه که برنامه‌ای چند پلتفرمی میباشد نیز دارای دو امتیاز است. این برنامه نه تنها سرویس چت تعبیه شده در درون سرویس ایمیل گوگل بوده بلکه سرویس چت شبکه اجتماعی گوگل پلاس و همچنین برنامه ای مجزا برای کاربران اندرویدی نیز میباشد. گوگل پیغامهای ارسالی از طریق این سرویس را کدگذاری مینماید و سال گذشته نیز اقدام به یک تحلیل و بررسی کامل امنیتی از این نرم افزار نمود. اما امکان خواندن پیغامهای شما از سوی خود گوگل مهیا بوده، امکان احراز هویت کاربران مخاطب وجود ندارد، اختفای کامل پیام (perfect forward secrecy) صورت نمی‌پذیرد، کد آن برای بررسی امنیتی مستقل ارائه نمیگردد و اینکه ساختار امنیتی آن نیز بصورت مستند و کامل موجود نیست.

چت فیسبوک (Facebook’s Chat)

برنامه چت فیسبوک که نسخه موبایلی سرویس چت شبکه اجتماعی فیسبوک است نیز شامل دو امتیاز کدگذاری ضمن ارسال و انجام یک تحلیل و بررسی امنیتی طی یکسال اخیر بوده و موارد امنیتی لحاظ نشده نیز دقیقاً مشابه هنگ-اَوتز میباشد.

وایبر (Viber)

این برنامه پیام‌رسان که در گزارش اصلی آن را بعنوان یکی از مواردی که میان این یازده برنامه از محبوبیت کمتری برخوردار است معرفی نموده اند، ولی در کشور ما با توجه به امکاناتش از محبوبیت بسیار زیادی برخوردار است. اگرچه وایبر نیز بعنوان یک پیام‌رسان خصوصی شناخته شده است اما تنها از همان دو امتیاز موارد قبلی برخودار است یعنی کدگذاری ضمن ارسال و توفیق در انجام بررسی امنیتی سرویس طی یکسال گذشته.

واتز-اَپ (WhatsApp)

و در آخر به برنامه محبوب و مشهور واتز-اپ رسیدیم. این برنامه آنقدر مؤفق ظاهر شده که یکی از غولهای شبکه‌های اجتماعی یعنی فیسبوک حاضر شد 19 میلیون دلار ناقابل برای بدست‌آوردن آن بپردازد. از این نرم افزار بعنوان جایگزین سیستم پیام‌کوتاه یاد میشود که میتواند پیغامهای ما را با همان سرعت و کیفیت بجای استفاده از سرویس مخابراتی سیم‌کارت از طریق اینترنت ارسال و دریافت نمایند. اگرچه این برنامه بین برنامه های ناامن دو امتیازی دسته بندی شده است، ولی بنظر میرسد با توجه به تغییرات کدگذاری انجام شده روی این برنامه (فعلاً فقط برای نسخه اندروید) پس از شراکت WhatsApp با شرکت Open Whisper Systems و همچنین پیشرفت های امنیتی بیشتری که ضمن این همکاری احتمالاً برای این برنامه صورت میپذیرد، بنظر میرسد دیگر نباید واتز-اپ را بین این یازده برنامه برشمرد.